Takket være den præcise længde på fire uger i februar i år er sidste måneds sammenfald af Firefox- og Microsoft-opdateringer sket igen.
I sidste måned beskæftigede Microsoft sig med tre nul-dage, hvormed vi mener sikkerhedshuller, som cyberkriminelle fandt først, og fandt ud af, hvordan de kunne misbruge i virkelige angreb, før nogen patches var tilgængelige.
(Navnet zero-dayEller blot 0-dag, er en påmindelse om, at selv de mest progressive og proaktive patchere blandt os nød præcis nul dage, hvor vi kunne have været foran skurkene.)
I marts 2023 er der to nul-dages rettelser, en i Outlook, og den anden i Windows SmartScreen.
Spændende for en fejl, der blev opdaget i naturen, omend en rapporteret ret intetsigende af Microsoft som Udnyttelse opdaget, krediteres Outlook-fejlen i fællesskab CERT-UA (det ukrainske Computer Emergency Response Team), Microsoft Incident Response og Microsoft Threat Intelligence.
Du kan gøre ud af det, hvad du vil.
Outlook EoP
Denne fejl, døbt CVE-2023-23397: Sårbarhed for udvidelse af rettigheder i Microsoft Outlook (EoP), er beskrevet som følger:
En angriber, der med succes udnyttede denne sårbarhed, kunne få adgang til en brugers Net-NTLMv2-hash, som kunne bruges som grundlag for et NTLM Relay-angreb mod en anden tjeneste for at godkende som brugeren. […]
Angriberen kunne udnytte denne sårbarhed ved at sende en specielt udformet e-mail, som udløses automatisk, når den hentes og behandles af Outlook-klienten. Dette kan føre til udnyttelse, FØR e-mailen vises i forhåndsvisningsruden. […]
Eksterne angribere kan sende specielt udformede e-mails, der vil forårsage en forbindelse fra offeret til en ekstern UNC-placering af angribernes kontrol. Dette vil lække offerets Net-NTLMv2-hash til angriberen, som derefter kan videresende dette til en anden tjeneste og autentificere som offeret.
For at forklare (så vidt vi kan gætte, da vi ikke har nogen detaljer om angrebet at fortsætte).
Net-NTLMv2-godkendelse, som vi bare vil kalde NTLM2 for kort, fungerer meget nogenlunde sådan her:
- Den placering, du opretter forbindelse til sender over 8 tilfældige bytes kendt som en udfordre.
- Din computer genererer sine egne 8 tilfældige bytes.
- Du beregne en HMAC-MD5-nøglehash af de to udfordringsstrenge ved at bruge en eksisterende sikkert gemt hash af din adgangskode som nøglen.
- Du send den indtastede hash og din 8-byte udfordring.
- Den anden ende har nu både 8-byte udfordringer og dit engangssvar, så det kan den genberegn den indtastede hash, og bekræft dit svar.
Faktisk er der en del mere i det end det, fordi der faktisk er to tastede hashes, den ene blander de to 8-byte tilfældige udfordringstal og den anden blander yderligere data, inklusive dit brugernavn, domænenavn og det aktuelle tidspunkt.
Men det underliggende princip er det samme.
Hverken din faktiske adgangskode eller den gemte hash af din adgangskode (f.eks. fra Active Directory) overføres nogensinde, så den kan ikke lække under transport.
Begge sider får også indsprøjtet 8 bytes af deres egen tilfældighed hver gang, hvilket forhindrer begge parter i snigende at genbruge en gammel udfordringsstreng i håbet om at ende med den samme nøglehash som i en tidligere session.
(Indpakning af tids- og andre logon-specifikke data tilføjer ekstra beskyttelse mod såkaldte afspille angreb, men vi ignorerer disse detaljer her.)
Sidder i midten
Som du kan forestille dig, i betragtning af at angriberen kan narre dig til at forsøge at "logon" på deres falske server (enten når du læser den booby-fangede e-mail eller værre, når Outlook begynder at behandle den på dine vegne, før du overhovedet får en glimt af, hvor falsk det kan se ud), ender du med at lække et enkelt, gyldigt NTLM2-svar.
Dette svar er beregnet til at bevise til den anden ende, ikke kun at du virkelig kender adgangskoden til den konto, du hævder er din, men også (på grund af udfordringsdataene blandet i), at du ikke bare genbruger et tidligere svar .
Så, som Microsoft advarer, kan en angriber, der kan time tingene rigtigt, muligvis begynde at godkende til en ægte server, mens du uden at kende din adgangskode eller dens hash, bare for at få en 8-byte startudfordring fra den rigtige server...
…og så send den udfordring tilbage til dig i det øjeblik, du bliver narret til at prøve at logge ind på deres falske server.
Hvis du derefter beregner den indtastede hash og sender den tilbage som dit "bevis på, at jeg kender min egen adgangskode lige nu", kan skurkene muligvis sende det korrekt beregnede svar tilbage til den ægte server, de forsøger at infiltrere, og dermed at narre den server til at acceptere dem, som om de var dig.
Kort sagt, du vil helt sikkert lappe mod denne, for selvom angrebet kræver mange forsøg, tid og held, og det ikke er særlig sandsynligt, at det virker, ved vi allerede, at det er et tilfælde af "Udnyttelse opdaget".
Med andre ord kan angrebet fås til at virke, og det er lykkedes mindst én gang mod et intetanende offer, som selv ikke gjorde noget risikabelt eller forkert.
SmartScreen sikkerhedsbypass
Den anden nul-dag er CVE-2023-24880, og denne ret meget beskriver selv: Windows SmartScreen-sikkerhedsfunktion omgå sårbarhed.
Enkelt sagt mærker Windows normalt filer, der ankommer via internettet, med et flag, der siger: "Denne fil kom udefra; behandl det med børnehandsker og stol ikke for meget på det."
Dette flag, hvor-det-kom-fra, plejede at være kendt som en fil Internet zone identifikator, og den minder Windows om, hvor meget (eller hvor lidt) tillid den skal have til indholdet af den pågældende fil, når den efterfølgende bruges.
Disse dage, Zone ID (for hvad det er værd, et ID på 3 betegner "fra internettet") omtales normalt med det mere dramatiske og mindeværdige navn Mærke af nettet eller MotW for kort.
Teknisk set gemmes dette zone-id sammen med filen i det, der er kendt som en Alternativ datastrøm eller ADS, men filer kan kun have ADS-data, hvis de er gemt på NTFS-formaterede Wiindows-diske. Hvis du f.eks. gemmer en fil til en FAT-diskenhed eller kopierer den til et ikke-NTFS-drev, går zone-id'et tabt, så denne beskyttende etiket er noget begrænset.
Denne fejl betyder, at nogle filer, der kommer ind udefra – for eksempel downloads eller vedhæftede filer i e-mail – ikke bliver tagget med den rigtige MotW-identifikator, så de omgås snigende Microsofts officielle sikkerhedstjek.
Microsofts offentlig bulletin siger ikke præcis, hvilke typer fil (billeder? Office-dokumenter? PDF-filer? dem alle?) der kan infiltreres i dit netværk på denne måde, men advarer meget bredt om, at "sikkerhedsfunktioner såsom beskyttet visning i Microsoft Office" kan omgås med dette trick.
Vi gætter på, at det betyder, at ondsindede filer, der normalt ville blive uskadeliggjort, f.eks. ved at have den indbyggede makrokode undertrykt, måske uventet kan komme til live, når de ses eller åbnes.
Endnu en gang vil opdateringen bringe dig tilbage på niveau med angriberne, så Forsink ikke/patch det i dag.
Hvad skal jeg gøre?
- Patch så snart du kan, som vi lige sagde ovenfor.
- Læs hele SophosLabs analyse af disse fejl og mere end 70 andre patches, hvis du stadig ikke er overbevist.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://nakedsecurity.sophos.com/2023/03/15/microsoft-fixes-two-0-days-on-patch-tuesday-update-now/
- :er
- $OP
- 1
- 2023
- 70
- 8
- a
- I stand
- Om
- over
- absolutte
- misbrug
- adgang
- Konto
- aktiv
- faktisk
- Yderligere
- Tilføjer
- annoncer
- mod
- forude
- Alle
- allerede
- blandt
- ,
- En anden
- besvare
- ER
- AS
- At
- angribe
- Angreb
- autentificere
- Godkendelse
- forfatter
- auto
- automatisk
- til rådighed
- tilbage
- background-billede
- grundlag
- BE
- fordi
- før
- Bit
- grænse
- Begge sider
- Bund
- bringe
- bredt
- Bug
- bugs
- indbygget
- by
- ringe
- CAN
- tilfælde
- Årsag
- center
- udfordre
- udfordringer
- Kontrol
- krav
- kunde
- kode
- sammentræf
- farve
- Kom
- Compute
- computer
- Tilslutning
- tilslutning
- indhold
- kontrol
- kunne
- dæksel
- Nuværende
- cyberkriminelle
- data
- Dage
- definitivt
- detaljer
- DID
- opdaget
- Skærm
- dokumenter
- Er ikke
- domæne
- Domain Name
- Dont
- downloads
- dramatisk
- køre
- døbt
- i løbet af
- enten
- emails
- nødsituation
- Endog
- NOGENSINDE
- Hver
- præcist nok
- eksempel
- eksisterende
- Forklar
- Exploit
- udnyttelse
- Exploited
- ekstern
- ekstra
- retfærdig
- falsk
- Fedt
- Feature
- Funktionalitet
- februar
- regnede
- File (Felt)
- Filer
- Firefox
- Fornavn
- fejl
- følger
- Til
- fundet
- fra
- fuld
- få
- given
- glimt
- Go
- skete
- hash
- Have
- have
- højde
- link.
- Huller
- håber
- hover
- Hvordan
- How To
- HTTPS
- i
- ID
- identifikator
- billeder
- in
- hændelse
- hændelsesrespons
- Herunder
- Intelligens
- Internet
- IT
- ITS
- selv
- Nøgle
- Barn
- Kend
- Kendskab til
- kendt
- etiket
- Efternavn
- føre
- lække
- Længde
- Livet
- ligesom
- Sandsynlig
- Limited
- lidt
- placering
- Se
- held
- Makro
- lavet
- lave
- Marts
- Margin
- max-bredde
- midler
- microsoft
- måske
- blandet
- Blanding
- øjeblik
- Måned
- mere
- mest
- MOTW
- navn
- netværk
- normal
- numre
- of
- Office
- officiel
- Gammel
- on
- ONE
- åbnet
- Andet
- Outlook
- uden for
- egen
- brød
- part
- Adgangskode
- patch
- patch tirsdag
- Patches
- paul
- plato
- Platon Data Intelligence
- PlatoData
- position
- Indlæg
- brug
- præcist
- smuk
- Eksempel
- tidligere
- princippet
- Proaktiv
- Behandlet
- forarbejdning
- progressiv
- beskyttet
- beskyttelse
- Beskyttende
- Bevise
- sætte
- tilfældig
- tilfældighed
- hellere
- Læs
- ægte
- benævnt
- svar
- rapporteret
- Kræver
- svar
- Risikabel
- groft
- Said
- samme
- Gem
- siger
- Anden
- sikkerhed
- afsendelse
- tjeneste
- Session
- Kort
- bør
- sider
- enkelt
- So
- solid
- nogle
- noget
- specielt
- forår
- starte
- Starter
- starter
- Stadig
- opbevaret
- Efterfølgende
- Succesfuld
- sådan
- SVG
- hold
- at
- deres
- Them
- Disse
- ting
- i år
- trussel
- tid
- til
- også
- top
- transit
- overgang
- gennemsigtig
- behandle
- Stol
- Tirsdag
- typer
- ukrainsk
- underliggende
- Opdatering
- opdateringer
- URL
- us
- Bruger
- sædvanligvis
- verificere
- via
- Victim
- Specifikation
- bind
- sårbarhed
- advarer
- Vej..
- Hvad
- som
- WHO
- bredde
- Wild
- vilje
- vinduer
- med
- uden
- ord
- Arbejde
- virker
- værd
- ville
- Forkert
- år
- Du
- Din
- zephyrnet
- nul