Patch Tuesday retter 4 kritiske RCE-fejl og en masse Office-huller

Ingen nul-dage i denne måned, hvis du ignorerer Edge RCE-hullet, der er lappet sidste uge (sørg for, at du har den opdatering i øvrigt):

For en komplet liste over denne måneds Microsoft Patch Tuesday-rettelser, tag et kig på vores søsterside Sophos News, hvor SophosLabs analytikere har samlet komplette lister af de mange Microsoft CVE'er, der blev rettet denne måned:

Lige som du kan lide det

Hjælpsomt har vores forskere skabt flere lister, praktisk sorteret efter fejltype og sværhedsgrad (så du kan fortælle dine fjernkodeudførelser fra dine elevations-of-privileges); af Microsofts gæt på sandsynligheden for, at skurke finder ud af arbejdsbedrifter for hver fejl (hvis du kan lide at prioritere din indsats på den måde), og pr produkttype (hvis du kan lide at dele din patching-indsats mellem dit serverteam, dine Office-eksperter og dit bærbare supportteam).

Hvis du undrede dig, var der 26 Remote Code Execution (RCE) patches, herunder fire kaldet "Kritisk", selvom tre af dem ser ud til at være relaterede fejl, der blev fundet og rettet sammen i en enkelt Windows-komponent.

RCE-patches vækker generelt størst bekymring, fordi de omhandler fejl, der i det mindste i teorien kan udnyttes af angribere, der endnu ikke har fodfæste på dit netværk, hvilket betyder, at de repræsenterer mulige måder, hvorpå kriminelle kan trænge ind og komme ind. i første omgang.

Der blev 17 Elevation-of-Privilege (EoP) rettelser, hvoraf kun én anses for "Kritisk" af Microsoft, ironisk nok i SharePoint Server, som er selve det værktøj, mange virksomheder er afhængige af for at udveksle store mængder data sikkert inde i deres netværk.

Med andre ord kan uautoriseret adgang til SharePoint give angribere et gratis pas til at komme direkte ind i dine egne eller endda dine kunders trofædata, som det for nylig skete for adskillige virksomheder, der bruger den konkurrerende fildelingstjeneste Flyt det.

Som du sikkert ved, er problemet med EoP-fejl, at de ofte bliver udnyttet som andet trin i et angreb udefra, brugt af cyberkriminelle til at øge deres adgangsrettigheder, så snart de kan, efter de har brudt ind.

Dette kan vende et sikkerhedsbrud, der startede med en forholdsvis begrænset indledende eksponering (for eksempel slyngeladgang kun til de lokale filer på en brugers bærbare computer)...

…til en meget farligere hændelse (f.eks. falsk adgang til alle andres bærbare computere på tværs af netværket og måske også til alle dine virksomhedsservere, såsom kundedatabaser, betalingssystemer, sikkerhedskopier og mere).

Bemærkelsesværdige huller

SophosLabs-eksperter har identificeret seks af CVE'erne som "bemærkelsesværdige".

Gå til vores lang rapport for mere information om disse seks fejl.

Indtil videre vil vi blot liste fem af dem her:

• CVE-2023-29357. Microsoft SharePoint Server-sårbarhed med privilegerede rettigheder. Denne fejl kan give en skurk, der har adgang til dit netværk, men som ikke har et logon til dit SharePoint-system, en måde at stjæle en legitim brugers adgangsoplysninger og dermed undgå behovet for at komme med et brugernavn, en adgangskode eller deres egen 2FA-kode.
• CVE-2023-29363, -32014 og -32015. Windows Pragmatic General Multicast (PGM) sårbarhed over fjernudførelse af kode. Hvis du bruger Windows message queuing-tjenesten i dit netværk, kan disse fejl tillade angribere at narre en enhed på dit netværk til at køre kode efter eget valg.
• CVE-2023-33146. Microsoft Office-sårbarhed ved fjernudførelse af kode. Tilsyneladende kan fejl således udløses af booby-fangede SketchUp-filer (vi har aldrig engang hørt om, endsige brugt, SketchUp-appen, men tilsyneladende er det et populært 3D-grafikprogram) indlejret i en lang række Office-filer, inklusive Word , Excel, PowerPoint og Outlook.

Spændende nok ser patchen til CVE-2023-33146 ud til at være symptomatisk for bredere uløste sikkerhedsproblemer i Offices support til håndtering af SketchUp-objekter, formentlig på grund af vanskeligheden ved sikkert at parse, behandle og indlejre endnu et komplekst filformat i Office-dokumenter.

Faktisk, den 2023-06-01, Microsoft officielt annonceret at det var ved at slukke for SketchUp-indlejringssystemet indtil videre (vores fremhævelse):

Muligheden for at indsætte SketchUp-grafik (.skp-filer) er midlertidigt deaktiveret i Word, Excel, PowerPoint og Outlook til Windows og Mac. Versioner af Office, der havde denne funktion aktiveret, vil ikke længere have adgang til den. […] Vi sætter pris på din tålmodighed, mens vi arbejder på at sikre sikkerheden og funktionaliteten af ​​denne funktion.

Funktionskryb, hvorved indlejrede objekter i Office-filer introducerer nye sikkerhedsrisici... hvem vidste det?

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• EVM Finans. Unified Interface for Decentralized Finance. Adgang her.
• Quantum Media Group. IR/PR forstærket. Adgang her.
• PlatoAiStream. Web3 Data Intelligence. Viden forstærket. Adgang her.
• Kilde: https://nakedsecurity.sophos.com/2023/06/14/patch-tuesday-fixes-4-critical-rce-bugs-and-a-bunch-of-office-holes/