Microsofts planlagte Patch Tuesday-sikkerhedsopdatering til februar inkluderer rettelser til to nul-dages sikkerhedssårbarheder under aktivt angreb, plus 71 andre fejl på tværs af en lang række af dets produkter.
I alt blev fem af de sårbarheder, som Microsoft udsendte en patch til februar, vurderet som kritiske, 66 som vigtige og to som moderate.
opdateringen inkluderer patches til Microsoft Office, Windows, Microsoft Exchange Server, virksomhedens Chromium-baserede Edge-browser, Azure Active Directory, Microsoft Defender for Endpoint og Skype for business. Tenable identificerede 30 af de 73 CVE'er som RCE (Remote Code Execution) sårbarheder; 16 som muliggør eskalering af privilegier; 10 som bundet til spoofing-fejl; ni som muliggør distribuerede denial-of-service-angreb; fem som informationsfejl; og tre som sikkerhedsomløbsproblemer.
Vand Hydra udnytter Zero-Days målrettet mod finansielle handlende
En trusselsaktør kaldet Water Hydra (alias Dark Casino) udnytter i øjeblikket en af nul-dages sårbarhederne - en Internet Genvejsfiler sikkerhedsfunktion omgår sårbarhed spores som CVE-2024-21412 (CVSS 8.1) — i en ondsindet kampagne rettet mod organisationer i den finansielle sektor.
Forskere hos Trend Micro – blandt flere, der opdagede og rapporterede fejlen til Microsoft – beskrev den som knyttet til en omgåelse af en tidligere rettet SmartScreen-sårbarhed (CVE-2023-36025, CVSS 8.8) og påvirker alle understøttede Windows-versioner. Water Hydra-aktører bruger CVE-2024-21412 til at få indledende adgang til systemer, der tilhører finansielle forhandlere og slippe DarkMe-fjernadgangs-trojaneren på dem.
For at udnytte sårbarheden skal en angriber først levere en ondsindet fil til en målrettet bruger og få dem til at åbne den, sagde Saeed Abbasi, leder af sårbarhedsforsker hos Qualys, i en e-mail-kommentar. "Virkningen af denne sårbarhed er dyb, kompromitterer sikkerheden og underminerer tilliden til beskyttelsesmekanismer som SmartScreen," sagde Abbasi.
SmartScreen Bypass Zero-Day
Den anden nul-dag, som Microsoft afslørede i denne måneds sikkerhedsopdatering, påvirker Defender SmartScreen. Ifølge Microsoft, CVE-2024-21351 er en middelsvær fejl, der gør det muligt for en angriber at omgå SmartScreen-beskyttelser og injicere kode i den for potentielt at opnå fjernudførelse af kode. En vellykket udnyttelse kan føre til begrænset dataeksponering, problemer med systemtilgængelighed eller begge dele, sagde Microsoft. Der er ingen oplysninger om, hvem der præcist kan udnytte fejlen og til hvilket formål.
I forberedte kommentarer til Dark Reading sagde Mike Walters, præsident og medstifter af Action1, at sårbarheden er knyttet til den måde, hvorpå Microsofts Mark of the Web (en funktion til identifikation af ikke-pålideligt indhold fra internettet) interagerer med SmartScreen-funktionen. "For denne sårbarhed skal en angriber distribuere en ondsindet fil til en bruger og overtale dem til at åbne den, så de kan omgå SmartScreen-kontrollen og potentielt kompromittere systemets sikkerhed," sagde Walters.
Fejl med høj prioritet
Blandt de fem kritiske sårbarheder i februar-opdateringen er den, der kræver prioriteret opmærksomhed CVE-2024-21410, en privilegieeskaleringssårbarhed i Exchange Server, et yndet mål for angribere. En angriber kan bruge fejlen til at afsløre en målrettet brugers Net-New Technology LAN Manager (NTLM) version 2-hash og derefter videresende disse legitimationsoplysninger mod en berørt Exchange Server og godkende den som brugeren.
Fejl som denne, der afslører følsomme oplysninger som NTLM-hash, kan være meget værdifulde for angribere, sagde Satnam Narang, senior forskningsingeniør hos Tenable i en erklæring. "En russisk-baseret trusselsaktør udnyttede en lignende sårbarhed til at udføre angreb - CVE-2023-23397 er en Elevation of Privilege-sårbarhed i Microsoft Outlook, der blev rettet i marts 2023," sagde han.
For at rette op på fejlen skal Exchange-administratorer sikre, at de har installeret Exchange Server 2019 Cumulative Update 14 (CU14)-opdatering og sikre, at funktionen Extended Protection for Authentication (EPA) er aktiveret, sagde Trend Micro. Sikkerhedsleverandøren pegede på en artikel, som Microsoft har udgivet der giver yderligere oplysninger om, hvordan man retter sårbarheden.
Microsoft har tildelt CVE-2024-21410 en maksimal alvorlighedsgrad på 9.1 ud af 10, hvilket gør det til en kritisk sårbarhed. Men typisk privilegie-eskaleringssårbarheder har en tendens til at score relativt lavt på CVSS sårbarhedsvurderingsskalaen, hvilket modsiger den sande natur af den trussel, de præsenterer, sagde Kev Breen, seniordirektør for trusselsforskning hos Immersive Labs. "På trods af deres lave score er sårbarheder [eskalering af privilegier] meget eftertragtede af trusselsaktører og brugt i næsten alle cyberhændelser," sagde Breen i en erklæring. "Når en angriber har adgang til en brugerkonto gennem social engineering eller et andet angreb, vil de næste forsøge at eskalere deres tilladelser enten til lokal administrator eller domæneadministrator."
Walters fra Action1 fremhævet CVE-2024-21413, en RCE-fejl i Microsoft Outlook som en sårbarhed, som administratorer måske vil prioritere fra februars batch. Den kritiske alvorlighedsfejl med en næsten maksimal alvorlighedsscore på 9.8 involverer lav angrebskompleksitet, ingen brugerinteraktion og ingen særlige privilegier, der kræves for, at en angriber kan udnytte det. "En angriber kan udnytte denne sårbarhed via forhåndsvisningsruden i Outlook, så de kan omgå Office Protected View og tvinge filer til at åbne i redigeringstilstand i stedet for i den mere sikre beskyttede tilstand," sagde Walters.
Microsoft identificerede selv sårbarheden som noget, angribere er mindre tilbøjelige til at angribe. Ikke desto mindre sagde Walters, at sårbarheden udgør en væsentlig trussel for organisationer og kræver øjeblikkelig opmærksomhed.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/vulnerabilities-threats/attackers-exploit-microsoft-security-bypass-zero-day-bugs
- :har
- :er
- 1
- 10
- 14
- 16
- 2019
- 2023
- 30
- 66
- 7
- 8
- 9
- a
- adgang
- Ifølge
- Konto
- tværs
- aktiv
- aktører
- Yderligere
- yderligere information
- admin
- administratorer
- påvirket
- påvirker
- Efter
- mod
- alias
- Alle
- tillade
- tillader
- næsten
- blandt
- an
- ,
- ER
- AS
- tildelt
- At
- angribe
- Angriberen
- Angreb
- opmærksomhed
- autentificere
- Godkendelse
- tilgængelighed
- til rådighed
- Azure
- BE
- tilhører
- både
- browser
- Bug
- bugs
- virksomhed
- men
- by
- bypass
- Kampagne
- CAN
- kapaciteter
- bære
- Kasino
- Kontrol
- omgå
- Medstifter
- kode
- kommentar
- kommentarer
- selskab
- kompleksitet
- kompromis
- at gå på kompromis
- indhold
- kunne
- KREDENTIAL
- kritisk
- For øjeblikket
- Cyber
- mørk
- Mørk læsning
- data
- levere
- beskrevet
- Trods
- detaljer
- Direktør
- Vejviser
- offentliggøre
- videregivelse
- opdaget
- distribuere
- distribueret
- domæne
- Drop
- døbt
- Edge
- enten
- aktiveret
- muliggør
- Endpoint
- ingeniør
- Engineering
- sikre
- EPA
- fejl
- eskalere
- optrapning
- Hver
- præcist nok
- udveksling
- udførelse
- Exploit
- udnytte
- exploits
- Eksponering
- udvidet
- Favorit
- Feature
- februar
- File (Felt)
- Filer
- finansielle
- Finansiel sektor
- Fornavn
- fem
- fast
- fejl
- fejl
- Til
- Tving
- fra
- Gevinst
- få
- hash
- Have
- he
- Fremhævet
- stærkt
- Hvordan
- How To
- HTTPS
- identificeret
- identificere
- fordybende
- KIMOs Succeshistorier
- vigtigt
- in
- hændelse
- omfatter
- oplysninger
- initial
- injicerbar
- installeret
- interaktion
- interagerer
- Internet
- ind
- involverer
- Udstedt
- spørgsmål
- IT
- ITS
- selv
- jpg
- Labs
- føre
- mindre
- gearede
- løftestang
- ligesom
- Sandsynlig
- Limited
- lokale
- Lav
- maerker
- ondsindet
- leder
- måde
- Marts
- markere
- maksimal
- mekanismer
- mikro
- microsoft
- måske
- mike
- tilstand
- moderat
- Måned
- skal
- Natur
- I nærheden af
- Behov
- Ikke desto mindre
- næste
- ni
- ingen
- of
- Office
- on
- engang
- ONE
- åbent
- or
- organisationer
- Andet
- ud
- Outlook
- brød
- patch
- patch tirsdag
- Tilladelser
- plato
- Platon Data Intelligence
- PlatoData
- plus
- udgør
- potentielt
- forberedt
- præsentere
- præsident
- Eksempel
- tidligere
- Prioriter
- prioritet
- privilegium
- privilegier
- Produkter
- dyb
- beskyttet
- beskyttelse
- Beskyttende
- giver
- formål
- rækkevidde
- nominel
- hellere
- bedømmelse
- Læsning
- relativt
- fjern
- Remote Access
- rapporteret
- påkrævet
- Kræver
- forskning
- forsker
- s
- sikrere
- Said
- Scale
- planlagt
- score
- sektor
- sikkerhed
- Søg
- senior
- følsom
- server
- flere
- lignende
- Skype
- Social
- Samfundsteknologi
- nogle
- noget
- søgte
- særligt
- Sponsoreret
- Personale
- Statement
- væsentlig
- vellykket
- Understøttet
- systemet
- Systemer
- mål
- målrettet
- rettet mod
- Teknologier
- tendens
- end
- at
- deres
- Them
- derefter
- de
- denne
- trussel
- trusselsaktører
- tre
- Gennem
- Tied
- til
- Traders
- Trend
- Trojan
- sand
- Stol
- Tirsdag
- to
- typisk
- under
- Opdatering
- brug
- anvendte
- Bruger
- ved brug af
- Værdifuld
- sælger
- udgave
- versioner
- meget
- via
- Specifikation
- Sårbarheder
- sårbarhed
- ønsker
- Vand
- web
- var
- Hvad
- som
- WHO
- bred
- Bred rækkevidde
- vilje
- vinduer
- med
- ville
- zephyrnet
- nul-dages sårbarheder