Microsoft afslører 5 Zero-Days i omfangsrig sikkerhedsopdatering til juli

Microsoft afslører 5 Zero-Days i omfangsrig sikkerhedsopdatering til juli

Tidsstempel: 11. juli 2023 kl. 6:16
Microsoft Discloses 5 Zero-Days in Voluminous July Security Update PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Microsofts juli sikkerhedsopdatering indeholder rettelser til hele 130 unikke sårbarheder, hvoraf fem angribere allerede aktivt udnytter i naturen.

Virksomheden vurderede ni af fejlene som værende af kritisk sværhedsgrad og 121 af dem som moderate eller vigtige. Sårbarhederne påvirker en lang række Microsoft-produkter, herunder Windows, Office, .Net, Azure Active Directory, Printer Drivers, DMS Server og Remote Desktop. Opdateringen indeholdt den sædvanlige blanding af fejl ved fjernudførelse af kode (RCE), sikkerhedsomgåelse og privilegieeskaleringsproblemer, fejl ved afsløring af oplysninger og svagheder ved lammelsesangreb.

"Denne mængde af rettelser er den højeste, vi har set i de sidste par år, selvom den er'Det er ikke usædvanligt at se Microsoft sende et stort antal patches lige før Black Hat USA-konferencen,” sagde Dustin Childs, sikkerhedsforsker ved Trend Micros Zero Day Initiative (ZDI), i et blogindlæg.

Fra et patch-prioriteringssynspunkt fortjener de fem nul-dage, som Microsoft afslørede i denne uge, øjeblikkelig opmærksomhed, ifølge sikkerhedsforskere.

Den mest alvorlige af dem er CVE-2023-36884, en RCE-fejl (Remote Code execution) i Office og Windows HTML, som Microsoft ikke havde en patch til i denne måneds opdatering. Virksomheden identificerede en trusselgruppe, som det sporer, Storm-0978, som udnytter fejlen i en phishing-kampagne rettet mod regerings- og forsvarsorganisationer i Nordamerika og Europa.

Kampagnen går ud på, at trusselsaktøren distribuerer en bagdør, kaldet RomCom, via Windows-dokumenter med temaer relateret til den ukrainske verdenskongres. "Storm-0978's målrettede operationer har påvirket regerings- og militærorganisationer primært i Ukraine, såvel som organisationer i Europa og Nordamerika, der potentielt er involveret i ukrainske anliggender." Microsoft sagde i en blog indlæg, der fulgte med sikkerhedsopdateringen fra juli. "Identificerede ransomware-angreb har blandt andet påvirket telekommunikations- og finansindustrien."

Dustin Childs, en anden forsker ved ZDI, advarede organisationer om at behandle CVE-2023-36884 som et "kritisk" sikkerhedsproblem, selvom Microsoft selv har vurderet det som en relativt mindre alvorlig, "vigtig" fejl. "Microsoft har taget den mærkelige handling at frigive denne CVE uden et plaster. At'kommer stadig,” skrev Childs i et blogindlæg. "Det er klart, der'Der er meget mere ved denne udnyttelse, end der bliver sagt."

To af de fem sårbarheder, der aktivt udnyttes, er sikkerhedsomgåelsesfejl. Den ene påvirker Microsoft Outlook (CVE-2023-35311) og den anden involverer Windows SmartScreen (CVE-2023-32049). Begge sårbarheder kræver brugerinteraktion, hvilket betyder, at en angriber kun vil være i stand til at udnytte dem ved at overbevise en bruger om at klikke på en ondsindet URL. Med CVE-2023-32049 ville en angriber være i stand til at omgå prompten Åbn fil – sikkerhedsadvarsel, mens CVE-2023-35311 giver angribere en måde at snige deres angreb ved hjælp af prompten om Microsoft Outlook Security Notice.

"Det er vigtigt at bemærke, at [CVE-2023-35311] specifikt tillader omgåelse af Microsoft Outlook-sikkerhedsfunktioner og muliggør ikke fjernudførelse af kode eller privilegieeskalering," sagde Mike Walters, vicepræsident for sårbarheds- og trusselsforskning hos Action1. "Derfor vil angribere sandsynligvis kombinere det med andre udnyttelser til et omfattende angreb. Sårbarheden påvirker alle versioner af Microsoft Outlook fra 2013 og frem,” bemærkede han i en e-mail til Dark Reading.

Kev Breen, direktør for forskning i cybertrusler hos Immersive Labs, vurderede den anden sikkerhedsbypass nul-dag CVE-2023-32049 — som en anden fejl, som trusselsaktører højst sandsynligt vil bruge som en del af en bredere angrebskæde.

De to andre nul-dage i Microsofts seneste sæt patches muliggør begge privilegieeskalering. Forskere ved Googles Threat Analysis Group opdagede en af ​​dem. Fejlen, spores som CVE-2023-36874, er et problem med udvidelse af privilegier i Windows Error Reporting-tjenesten (WER), der giver angribere en måde at opnå administrative rettigheder på sårbare systemer. En angriber ville have brug for lokal adgang til et berørt system for at udnytte fejlen, som de kunne opnå via andre udnyttelser eller via misbrug af legitimationsoplysninger.

"WER-tjenesten er en funktion i Microsoft Windows-operativsystemer, der automatisk indsamler og sender fejlrapporter til Microsoft, når bestemt software går ned eller støder på andre typer fejl," sagde Tom Bowyer, sikkerhedsforsker hos Automox. "Denne nul-dages sårbarhed bliver aktivt udnyttet, så hvis WER bruges af din organisation, anbefaler vi patching inden for 24 timer," sagde han.

Den anden rettighedsforhøjelse-fejl i sikkerhedsopdateringen fra juli, som angribere allerede aktivt udnytter, er CVE-2023-32046 i Microsofts Windows MSHTM-platform, også kaldet "Trident"-browsergengivelsesmotoren. Som med mange andre fejl, kræver denne også en vis grad af brugerinteraktion. I et e-mail-angrebsscenarie for at udnytte fejlen, skal en angriber sende en målrettet bruger en specialudformet fil og få brugeren til at åbne den. I et webbaseret angreb skal en angriber være vært for et ondsindet websted - eller bruge et kompromitteret websted - for at hoste en specielt udformet fil og derefter overbevise et offer om at åbne den, sagde Microsoft.

RCE'er i Windows Routing, Remote Access Service

Sikkerhedsforskere pegede på tre RCE-sårbarheder i Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366og CVE-2023-35367) som fortjener prioriteret opmærksomhed som alle andre. Microsoft har vurderet alle tre sårbarheder som kritiske, og alle tre har en CVSS-score på 9.8. Tjenesten er ikke tilgængelig som standard på Windows Server og gør det grundlæggende muligt for computere, der kører OS, at fungere som routere, VPN-servere og opkaldsservere, sagde Automox's Bowyer. "En succesfuld angriber kan ændre netværkskonfigurationer, stjæle data, flytte til andre mere kritiske/vigtige systemer eller oprette yderligere konti for vedvarende adgang til enheden."

SharePoint-serverfejl

Microsofts enorme juli-opdatering indeholdt rettelser til fire RCE-sårbarheder i SharePoint-serveren, som er blevet et populært angribermål for nylig. Microsoft vurderede to af fejlene som "vigtige" (CVE-2023-33134 , CVE-2023-33159) og de to andre som "kritiske" (CVE-2023-33157 , CVE-2023-33160). "Alle af dem kræver, at angriberen er autentificeret, eller at brugeren udfører en handling, der heldigvis reducerer risikoen for et brud," sagde Yoav Iellin, seniorforsker ved Silverfort. "Alligevel, da SharePoint kan indeholde følsomme data og normalt eksponeres uden for organisationen, bør de, der bruger de lokale eller hybride versioner, opdatere."

Organisationer, der skal overholde regler som FEDRAMP, PCI, HIPAA, SOC2 og lignende regler, bør være opmærksomme på CVE-2023-35332: en Windows Remote Desktop Protocol Security Feature Bypass-fejl, sagde Dor Dali, forskningschef hos Cyolo. Sårbarheden har at gøre med brugen af ​​forældede og forældede protokoller, herunder Datagram Transport Layer Security (DTLS) version 1.0, som udgør en betydelig sikkerheds- og overholdelsesrisiko for organisationer, sagde han. I situationer, hvor en organisation ikke umiddelbart kan opdatere, bør de deaktivere UDP-understøttelse i RDP-gatewayen, sagde han.

Derudover Microsoft offentliggjorde en rådgivende på sin undersøgelse af nylige rapporter om trusselsaktører, der bruger drivere certificeret under Microsoft's Windows Hardware Developer Program (MWHDP) i post-exploit aktivitet.

Tidsstempel:

Mere fra Mørk læsning