Dank der präzisen vierwöchigen Länge des Februars dieses Jahres hat sich das Zusammentreffen von Firefox- und Microsoft-Updates im letzten Monat erneut ereignet.
Im vergangenen Monat befasste sich Microsoft mit drei Zero-Days, womit wir Sicherheitslücken meinen, die Cyberkriminelle zuerst gefunden und herausgefunden haben, wie sie in realen Angriffen missbraucht werden können, bevor Patches verfügbar waren.
(Der Name Zero-Day, oder einfach 0-Tag, ist eine Erinnerung an die Tatsache, dass selbst die fortschrittlichsten und proaktivsten Patcher unter uns genau null Tage genossen haben, an denen wir den Gaunern hätten voraus sein können.)
Im März 2023 gibt es zwei Zero-Day-Fixes, einen in Outlookund der andere in Windows SmartScreen.
Faszinierend für einen Fehler, der in freier Wildbahn entdeckt wurde, wenn auch von Microsoft als eher nüchtern gemeldet Ausbeutung festgestellt, wird der Outlook-Fehler gemeinsam gutgeschrieben CERT-UA (das ukrainische Computer Emergency Response Team), Microsoft Incident Response und Microsoft Threat Intelligence.
Du kannst daraus machen, was du willst.
Outlook EoP
Dieser Fehler, genannt CVE-2023-23397: Sicherheitsanfälligkeit in Microsoft Outlook bezüglich der Erhöhung von Berechtigungen (EoP), ist beschrieben wie folgt:
Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte auf den Net-NTLMv2-Hash eines Benutzers zugreifen, der als Grundlage für einen NTLM-Relay-Angriff gegen einen anderen Dienst verwendet werden könnte, um sich als Benutzer zu authentifizieren. […]
Der Angreifer könnte diese Schwachstelle ausnutzen, indem er eine speziell gestaltete E-Mail sendet, die automatisch ausgelöst wird, wenn sie vom Outlook-Client abgerufen und verarbeitet wird. Dies könnte zu einer Ausnutzung führen, BEVOR die E-Mail im Vorschaubereich angezeigt wird. […]
Externe Angreifer könnten speziell gestaltete E-Mails senden, die eine Verbindung vom Opfer zu einem externen UNC-Standort unter der Kontrolle des Angreifers herstellen. Dadurch wird der Net-NTLMv2-Hash des Opfers an den Angreifer weitergegeben, der ihn dann an einen anderen Dienst weiterleiten und sich als Opfer authentifizieren kann.
Um es zu erklären (soweit wir das erraten können, da wir keine Einzelheiten über den Angriff haben).
Die Net-NTLMv2-Authentifizierung, die wir kurz NTLM2 nennen, funktioniert ungefähr so:
- Der Standort, mit dem Sie sich verbinden sendet über 8 zufällige Bytes bekannt als challenges.
- Dein Computer generiert seine eigenen 8 zufälligen Bytes.
- Du Berechnen Sie einen HMAC-MD5-geschlüsselten Hash der beiden Challenge-Strings Verwenden Sie einen vorhandenen, sicher gespeicherten Hash Ihres Passworts als Schlüssel.
- Du Senden Sie den verschlüsselten Hash und Ihre 8-Byte-Challenge ab.
- Das andere Ende hat jetzt sowohl 8-Byte-Herausforderungen als auch Ihre einmalige Antwort, also kann es Berechnen Sie den verschlüsselten Hash neu und überprüfen Sie Ihre Antwort.
Eigentlich steckt noch ein bisschen mehr dahinter, denn es gibt tatsächlich zwei Schlüssel-Hashes, einer mischt die beiden 8-Byte-Zufallszahlen und der andere mischt zusätzliche Daten einschließlich Ihres Benutzernamens, Domänennamens und der aktuellen Uhrzeit.
Aber das Grundprinzip ist das gleiche.
Weder Ihr tatsächliches Passwort noch der gespeicherte Hash Ihres Passworts (z. B. aus Active Directory) werden jemals übertragen, sodass es während der Übertragung nicht nach außen gelangen kann.
Außerdem können beide Seiten jedes Mal 8 Bytes ihrer eigenen Zufälligkeit einfügen, was verhindert, dass beide Parteien eine alte Challenge-Zeichenfolge heimlich wiederverwenden, in der Hoffnung, am Ende denselben verschlüsselten Hash wie in einer vorherigen Sitzung zu erhalten.
(Das Umschließen der Uhrzeit und anderer anmeldungsspezifischer Daten bietet zusätzlichen Schutz vor sog Wiederholungsangriffe, aber wir ignorieren diese Details hier.)
In der Mitte sitzen
Wie Sie sich vorstellen können, kann der Angreifer Sie dazu verleiten, sich bei seinem gefälschten Server „anzumelden“ (entweder wenn Sie die mit Sprengfallen versehene E-Mail lesen oder, schlimmer noch, wenn Outlook beginnt, sie in Ihrem Namen zu verarbeiten, bevor Sie überhaupt eine einen Blick darauf, wie falsch es aussehen könnte), geben Sie am Ende eine einzige gültige NTLM2-Antwort preis.
Diese Antwort soll dem anderen Ende nicht nur beweisen, dass Sie wirklich das Passwort des Kontos kennen, von dem Sie behaupten, dass es Ihnen gehört, sondern auch (aufgrund der eingemischten Challenge-Daten), dass Sie nicht nur eine frühere Antwort wiederverwenden .
Wie Microsoft warnt, kann ein Angreifer, der das richtige Timing hat, möglicherweise damit beginnen, sich bei einem echten Server wie Sie zu authentifizieren, ohne Ihr Passwort oder seinen Hash zu kennen, nur um eine 8-Byte-Startaufforderung vom echten Server zu erhalten …
… und geben diese Herausforderung dann an Sie zurück, sobald Sie dazu verleitet werden, sich bei ihrem gefälschten Server anzumelden.
Wenn Sie dann den Schlüssel-Hash berechnen und als Ihren „Beweis, dass ich mein eigenes Passwort jetzt kenne“ zurücksenden, können die Gauner diese korrekt berechnete Antwort möglicherweise an den echten Server weiterleiten, den sie zu infiltrieren versuchen, und so um diesen Server dazu zu bringen, sie so zu akzeptieren, als wären sie Sie.
Kurz gesagt, Sie möchten unbedingt gegen diesen Patch patchen, denn selbst wenn der Angriff viele Versuche, Zeit und Glück erfordert und nicht sehr wahrscheinlich funktioniert, wissen wir bereits, dass es sich um einen handelt „Ausbeutung festgestellt“.
Mit anderen Worten, der Angriff kann zum Funktionieren gebracht werden und war mindestens einmal gegen ein ahnungsloses Opfer erfolgreich, das selbst nichts Riskantes oder Falsches getan hat.
SmartScreen-Sicherheitsumgehung
Der zweite Zero-Day ist CVE-2023-24880, und dieser ziemlich viel beschreibt selbst: Schwachstelle zur Umgehung der Windows SmartScreen-Sicherheitsfunktion.
Einfach ausgedrückt kennzeichnet Windows normalerweise Dateien, die über das Internet ankommen, mit einem Flag, das besagt: „Diese Datei kam von außen; Behandle es mit Samthandschuhen und vertraue ihm nicht zu sehr.“
Dieses Woher-es-her-kommt-Flag war früher als Datei bekannt Internetzone ID, und es erinnert Windows daran, wie viel (oder wie wenig) Vertrauen es in den Inhalt dieser Datei setzen sollte, wenn sie später verwendet wird.
In diesen Tagen, der Zonen-ID (für das, was es wert ist, eine ID von 3 bedeutet „aus dem Internet“) wird normalerweise mit dem dramatischeren und einprägsameren Namen bezeichnet Marke des Webs, oder MotW kurz gesagt.
Technisch gesehen wird diese Zonen-ID zusammen mit der Datei in einer sogenannten Alternativer Datenstrom, oder ADS, aber Dateien können nur ADS-Daten enthalten, wenn sie auf NTFS-formatierten Windows-Festplatten gespeichert sind. Wenn Sie eine Datei beispielsweise auf einem FAT-Volume speichern oder auf ein Nicht-NTFS-Laufwerk kopieren, geht die Zonen-ID verloren, sodass diese Schutzbezeichnung etwas eingeschränkt ist.
Dieser Fehler bedeutet, dass einige Dateien, die von außen hereinkommen – zum Beispiel Downloads oder E-Mail-Anhänge – nicht mit der richtigen MotW-Kennung gekennzeichnet werden, sodass sie die offiziellen Sicherheitsprüfungen von Microsoft heimlich umgehen.
Microsoft's öffentliche Mitteilung sagt nicht genau, welche Dateitypen (Bilder? Office-Dokumente? PDFs? alle?) auf diese Weise in Ihr Netzwerk eingeschleust werden können, warnt aber ganz allgemein davor „Sicherheitsfunktionen wie die geschützte Ansicht in Microsoft Office“ kann mit diesem Trick umgangen werden.
Wir vermuten, dass bösartige Dateien, die normalerweise unschädlich gemacht würden, beispielsweise durch das Unterdrücken von eingebautem Makrocode, unerwartet zum Leben erwachen können, wenn sie angezeigt oder geöffnet werden.
Das Update bringt Sie also wieder einmal auf Augenhöhe mit den Angreifern Zögern Sie nicht und patchen Sie es noch heute.
Was ist zu tun?
- Patch so schnell wie möglich, wie wir gerade oben gesagt haben.
- Lesen Sie den vollständigen SophosLabs-Analyse dieser Bugs und mehr als 70 weitere Patches, falls Sie immer noch nicht überzeugt sind.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://nakedsecurity.sophos.com/2023/03/15/microsoft-fixes-two-0-days-on-patch-tuesday-update-now/
- :Ist
- $UP
- 1
- 2023
- 70
- 8
- a
- Fähig
- LiveBuzz
- oben
- Absolute
- Missbrauch
- Zugang
- Konto
- aktiv
- berührt das Schneidwerkzeug
- Zusätzliche
- Fügt
- Siehe Werbung
- gegen
- voraus
- Alle
- bereits
- unter
- und
- Ein anderer
- beantworten
- SIND
- AS
- At
- Attacke
- Anschläge
- authentifizieren
- Authentifizierung
- Autor
- Auto
- Im Prinzip so, wie Sie es von Google Maps kennen.
- verfügbar
- Zurück
- background-image
- Grundlage
- BE
- weil
- Bevor
- Bit
- Grenze
- Beide Seiten
- Boden
- bringen
- allgemein
- Fehler
- Bugs
- eingebaut
- by
- rufen Sie uns an!
- CAN
- Häuser
- Verursachen
- Center
- challenges
- Herausforderungen
- Schecks
- Anspruch
- Auftraggeber
- Code
- Zufall
- Farbe
- wie die
- Berechnen
- Computer
- Sich zusammenschliessen
- Verbindung
- Inhalt
- Smartgeräte App
- könnte
- Abdeckung
- Strom
- Cyber-Kriminelle
- technische Daten
- Tage
- definitiv
- Details
- DID
- entdeckt
- Display
- Unterlagen
- Tut nicht
- Domain
- Domain Name
- Nicht
- Downloads
- dramatisch
- Antrieb
- synchronisiert
- im
- entweder
- E-Mails
- Notfall
- Sogar
- ÜBERHAUPT
- Jedes
- genau
- Beispiel
- vorhandenen
- Erklären
- Ausnutzen
- Ausbeutung
- Exploited
- extern
- extra
- Messe
- Fälschung
- Fett
- Merkmal
- Eigenschaften
- Februar
- gemustert
- Reichen Sie das
- Mappen
- Firefox
- Vorname
- Fehler
- folgt
- Aussichten für
- gefunden
- für
- voller
- bekommen
- gegeben
- Blick
- Go
- passiert
- Hash-
- Haben
- mit
- Höhe
- hier
- Bohrungen
- ein Geschenk
- schweben
- Ultraschall
- Hilfe
- HTTPS
- i
- ID
- Kennzeichnung
- Bilder
- in
- Zwischenfall
- Vorfallreaktion
- Einschließlich
- Intelligenz
- Internet
- IT
- SEINE
- selbst
- Wesentliche
- Kind
- Wissen
- Wissend
- bekannt
- Label
- Nachname
- führen
- Leck
- Länge
- Lebensdauer
- Gefällt mir
- wahrscheinlich
- Limitiert
- wenig
- Standorte
- aussehen
- Glück
- Makro
- gemacht
- um
- März
- Marge
- max-width
- Mittel
- Microsoft
- könnte
- gemischt
- Vermischung
- Moment
- Monat
- mehr
- vor allem warme
- MOTW
- Name
- Netzwerk
- normal
- Zahlen
- of
- Office
- offiziell
- Alt
- on
- EINEM
- geöffnet
- Andere
- Outlook
- aussen
- besitzen
- Brot
- Party
- Passwort
- Patch
- Patch Tuesday
- Patches
- Alexander
- Plato
- Datenintelligenz von Plato
- PlatoData
- Position
- BLOG-POSTS
- präzise
- genau
- ziemlich
- Vorspann
- früher
- Prinzip
- Proaktives Handeln
- Verarbeitet
- Verarbeitung
- fortschrittlich
- geschützt
- Sicherheit
- Schutz-
- Belegen
- setzen
- zufällig
- Zufälligkeit
- lieber
- Lesen Sie mehr
- echt
- bezeichnet
- antworten
- Berichtet
- erfordert
- Antwort
- Riskant
- rund
- Said
- gleich
- Speichern
- sagt
- Zweite
- Sicherheitdienst
- Sendung
- Sitzung
- Short
- sollte
- Seiten
- Single
- So
- solide
- einige
- etwas
- speziell
- Feder
- Anfang
- Beginnen Sie
- beginnt
- Immer noch
- gelagert
- Anschließend
- Erfolgreich
- so
- SVG
- Team
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- Diese
- dieses Jahr
- Bedrohung
- Zeit
- zu
- auch
- Top
- Transit
- Übergang
- transparent
- behandeln
- Vertrauen
- Dienstag
- Typen
- Ukrainisch
- zugrunde liegen,
- Aktualisierung
- Updates
- URL
- us
- Mitglied
- gewöhnlich
- überprüfen
- Opfer
- Anzeigen
- Volumen
- Verwundbarkeit
- Warnt
- Weg..
- Was
- welche
- WHO
- Breite
- Wild
- werden wir
- Fenster
- mit
- ohne
- Worte
- Arbeiten
- Werk
- wert
- würde
- Falsch
- Jahr
- Du
- Ihr
- Zephyrnet
- Null