Χάρη στην ακριβή διάρκεια των τεσσάρων εβδομάδων του Φεβρουαρίου του τρέχοντος έτους, η σύμπτωση των ενημερώσεων Firefox και Microsoft τον περασμένο μήνα συνέβη για άλλη μια φορά.
Τον περασμένο μήνα, η Microsoft ασχολήθηκε με τρεις μέρες μηδέν, με τον οποίο εννοούμε τις τρύπες ασφαλείας που βρήκαν πρώτοι οι εγκληματίες του κυβερνοχώρου και κατάλαβαν πώς να κάνουν κατάχρηση σε πραγματικές επιθέσεις προτού διατεθούν τυχόν ενημερώσεις κώδικα.
(Το όνομα Zero-Day, ή απλά 0 ημερών, είναι μια υπενθύμιση του γεγονότος ότι ακόμη και οι πιο προοδευτικοί και προληπτικοί μπαλωματές ανάμεσά μας απολάμβαναν ακριβώς μηδέν ημέρες κατά τις οποίες θα μπορούσαμε να είμαστε μπροστά από τους απατεώνες.)
Τον Μάρτιο του 2023, υπάρχουν δύο επιδιορθώσεις μηδενικής ημέρας, μία σε θέα, και το άλλο μέσα Windows SmartScreen.
Είναι ενδιαφέρον για ένα σφάλμα που ανακαλύφθηκε στη φύση, αν και ένα που αναφέρθηκε μάλλον ανήθικα από τη Microsoft ως Εντοπίστηκε εκμετάλλευση, το ελάττωμα του Outlook πιστώνεται από κοινού CERT-UA (η Ουκρανική Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών), Αντίδραση Συμβάντων της Microsoft και Ευφυΐα Απειλές της Microsoft.
Μπορείτε να το κάνετε ό,τι θέλετε.
Outlook EoP
Αυτό το σφάλμα, μεταγλωττίστηκε CVE-2023-23397: Ευπάθεια για το Microsoft Outlook Elevation of Privilege (EoP), είναι περιγράφεται ως ακολούθως:
Ένας εισβολέας που εκμεταλλεύτηκε επιτυχώς αυτήν την ευπάθεια θα μπορούσε να αποκτήσει πρόσβαση στον κατακερματισμό Net-NTLMv2 ενός χρήστη, ο οποίος θα μπορούσε να χρησιμοποιηθεί ως βάση μιας επίθεσης αναμετάδοσης NTLM εναντίον άλλης υπηρεσίας για τον έλεγχο ταυτότητας ως χρήστη. […]
Ο εισβολέας θα μπορούσε να εκμεταλλευτεί αυτήν την ευπάθεια στέλνοντας ένα ειδικά διαμορφωμένο email το οποίο ενεργοποιείται αυτόματα όταν ανακτάται και υποβάλλεται σε επεξεργασία από τον πελάτη του Outlook. Αυτό θα μπορούσε να οδηγήσει σε εκμετάλλευση ΠΡΙΝ προβληθεί το email στο παράθυρο προεπισκόπησης. […]
Οι εξωτερικοί εισβολείς θα μπορούσαν να στείλουν ειδικά κατασκευασμένα μηνύματα ηλεκτρονικού ταχυδρομείου που θα προκαλέσουν σύνδεση από το θύμα σε μια εξωτερική τοποθεσία UNC του ελέγχου των εισβολέων. Αυτό θα διαρρέει τον κατακερματισμό Net-NTLMv2 του θύματος στον εισβολέα, ο οποίος μπορεί στη συνέχεια να το μεταδώσει σε άλλη υπηρεσία και να ελέγξει την ταυτότητα του θύματος.
Για να εξηγήσω (όσο μπορούμε να μαντέψουμε, δεδομένου ότι δεν έχουμε λεπτομέρειες για την επίθεση να συνεχίσουμε).
Ο έλεγχος ταυτότητας Net-NTLMv2, τον οποίο θα ονομάσουμε απλώς NTLM2 για συντομία, λειτουργεί πολύ περίπου ως εξής:
- Η τοποθεσία στην οποία συνδέεστε στέλνει πάνω από 8 τυχαία byte γνωστό ως a πρόκληση.
- Ο υπολογιστής σου δημιουργεί τα δικά του 8 τυχαία byte.
- Εσείς υπολογίστε έναν κατακερματισμό με κλειδί HMAC-MD5 των δύο συμβολοσειρών πρόκλησης χρησιμοποιώντας ένα υπάρχον ασφαλώς αποθηκευμένο κατακερματισμό του κωδικού πρόσβασής σας ως κλειδί.
- Εσείς στείλτε τον κατακερματισμό με κλειδί και την πρόκληση των 8 byte.
- Το άλλο άκρο έχει τώρα προκλήσεις 8 byte και την απάντησή σας μία φορά, οπότε μπορεί υπολογίστε ξανά τον κατακερματισμό με κλειδί και επαληθεύστε την απάντησή σας.
Στην πραγματικότητα, υπάρχει κάτι περισσότερο από αυτό, επειδή υπάρχουν στην πραγματικότητα δύο πλήκτρα κατακερματισμού, ο ένας αναμιγνύεται στους δύο αριθμούς τυχαίας πρόκλησης των 8 byte και ο άλλος με πρόσθετα δεδομένα, όπως το όνομα χρήστη, το όνομα τομέα και την τρέχουσα ώρα.
Αλλά η βασική αρχή είναι η ίδια.
Ούτε ο πραγματικός κωδικός πρόσβασής σας ούτε ο αποθηκευμένος κατακερματισμός του κωδικού πρόσβασής σας (για παράδειγμα από την υπηρεσία καταλόγου Active Directory) δεν μεταδίδεται ποτέ, επομένως δεν μπορεί να διαρρεύσει κατά τη μεταφορά.
Επίσης, και οι δύο πλευρές μπορούν να εισάγουν 8 byte της δικής τους τυχαίας κάθε φορά, κάτι που εμποδίζει κάθε μέρος να επαναχρησιμοποιήσει κρυφά μια παλιά συμβολοσειρά πρόκλησης με την ελπίδα να καταλήξει με τον ίδιο κατακερματισμό με κλειδί όπως σε μια προηγούμενη συνεδρία.
(Η αναδίπλωση του χρόνου και άλλων δεδομένων που σχετίζονται με τη σύνδεση προσθέτουν επιπλέον προστασία από τα λεγόμενα επανάληψη επιθέσεων, αλλά θα αγνοήσουμε αυτές τις λεπτομέρειες εδώ.)
Καθισμένος στη μέση
Όπως μπορείτε να φανταστείτε, δεδομένου ότι ο εισβολέας μπορεί να σας εξαπατήσει ώστε να προσπαθήσετε να "συνδεθείτε" στον ψεύτικο διακομιστή του (είτε όταν διαβάζετε το μπλοκαρισμένο email είτε, χειρότερα, όταν το Outlook ξεκινά να το επεξεργάζεται για λογαριασμό σας, πριν καν λάβετε δείτε πόσο ψεύτικο μπορεί να φαίνεται), καταλήγετε να διαρρέετε μια ενιαία, έγκυρη απόκριση NTLM2.
Αυτή η απάντηση έχει σκοπό να αποδείξει στο άλλο άκρο όχι μόνο ότι πραγματικά γνωρίζετε ότι ο κωδικός πρόσβασης του λογαριασμού που ισχυρίζεστε ότι είναι δικός σας, αλλά επίσης (λόγω των δεδομένων πρόκλησης που αναμειγνύονται) ότι δεν χρησιμοποιείτε απλώς μια προηγούμενη απάντηση .
Έτσι, όπως προειδοποιεί η Microsoft, ένας εισβολέας που μπορεί να χρονομετρήσει σωστά τα πράγματα μπορεί να είναι σε θέση να ξεκινήσει τον έλεγχο ταυτότητας σε έναν γνήσιο διακομιστή όπως εσείς, χωρίς να γνωρίζει τον κωδικό πρόσβασής σας ή τον κατακερματισμό του, απλώς για να λάβει μια πρόκληση εκκίνησης 8 byte από τον πραγματικό διακομιστή…
…και μετά περάστε αυτήν την πρόκληση πίσω σε εσάς τη στιγμή που θα ξεγελαστείτε και προσπαθείτε να συνδεθείτε στον ψεύτικο διακομιστή τους.
Εάν στη συνέχεια υπολογίσετε το κλειδωμένο κατακερματισμό και το στείλετε πίσω ως "απόδειξη ότι γνωρίζω τον δικό μου κωδικό πρόσβασης αυτήν τη στιγμή", οι απατεώνες μπορεί να είναι σε θέση να αναμεταδώσουν αυτήν την σωστά υπολογισμένη απάντηση στον αυθεντικό διακομιστή που προσπαθούν να διεισδύσουν και έτσι για να ξεγελάσεις αυτόν τον διακομιστή ώστε να τους αποδεχτεί σαν να ήσουν εσύ.
Εν ολίγοις, σίγουρα θέλετε να αντιμετωπίσετε αυτό το πρόβλημα, γιατί ακόμα κι αν η επίθεση απαιτεί πολλές προσπάθειες, χρόνο και τύχη και δεν είναι τρομερά πιθανό να λειτουργήσει, γνωρίζουμε ήδη ότι πρόκειται για «Εντοπίστηκε εκμετάλλευση».
Με άλλα λόγια, η επίθεση μπορεί να λειτουργήσει και έχει πετύχει τουλάχιστον μία φορά εναντίον ενός ανυποψίαστου θύματος που δεν έκανε τίποτα επικίνδυνο ή λάθος.
Παράκαμψη ασφαλείας SmartScreen
Η δεύτερη ημέρα μηδέν είναι CVE-2023-24880, και αυτό λίγο πολύ περιγράφει από μόνη της: Ευπάθεια παράκαμψης της δυνατότητας ασφαλείας SmartScreen των Windows.
Με απλά λόγια, τα Windows συνήθως προσθέτουν ετικέτες στα αρχεία που φτάνουν μέσω του Διαδικτύου με μια σημαία που λέει: "Αυτό το αρχείο προήλθε από έξω. Αντιμετωπίστε το με παιδικά γάντια και μην το εμπιστεύεστε πολύ.”
Αυτή η σημαία από πού προήλθε ήταν γνωστή ως αρχείο Ζώνη Διαδικτύου αναγνωριστικό και υπενθυμίζει στα Windows πόση (ή λίγη) εμπιστοσύνη θα πρέπει να έχουν στο περιεχόμενο αυτού του αρχείου όταν θα χρησιμοποιηθεί στη συνέχεια.
Αυτές τις μέρες, το Ταυτότητα ζώνης (για ό,τι αξίζει, ένα αναγνωριστικό 3 δηλώνει «από το διαδίκτυο») αναφέρεται συνήθως με το πιο δραματικό και αξέχαστο όνομα Σημάδι του Ιστού, ή MotW εν συντομία.
Τεχνικά, αυτό το αναγνωριστικό ζώνης αποθηκεύεται μαζί με το αρχείο σε αυτό που είναι γνωστό ως an Εναλλακτική ροή δεδομένων, ή ADS, αλλά τα αρχεία μπορούν να έχουν δεδομένα ADS μόνο εάν είναι αποθηκευμένα σε δίσκους Wiindows με μορφή NTFS. Εάν αποθηκεύσετε ένα αρχείο σε έναν τόμο FAT, για παράδειγμα, ή το αντιγράψετε σε μονάδα δίσκου που δεν είναι NTFS, το Zone ID χάνεται, επομένως αυτή η προστατευτική ετικέτα είναι κάπως περιορισμένη.
Αυτό το σφάλμα σημαίνει ότι ορισμένα αρχεία που έρχονται από έξω - για παράδειγμα, λήψεις ή συνημμένα email - δεν επισημαίνονται με το σωστό αναγνωριστικό MotW, επομένως παρακάμπτουν κρυφά τους επίσημους ελέγχους ασφαλείας της Microsoft.
Η Microsoft δημόσιο δελτίο δεν λέει ακριβώς ποιοι τύποι αρχείων (εικόνες; έγγραφα του Office; PDF; όλα;) μπορούν να διεισδύσουν στο δίκτυό σας με αυτόν τον τρόπο, αλλά προειδοποιεί πολύ ευρέως ότι "Δυνατότητες ασφαλείας όπως η Προστατευμένη προβολή στο Microsoft Office" μπορεί να παρακαμφθεί με αυτό το κόλπο.
Υποθέτουμε ότι αυτό σημαίνει ότι τα κακόβουλα αρχεία που συνήθως καθίστανται αβλαβή, για παράδειγμα με την καταστολή του ενσωματωμένου κώδικα μακροεντολής, ενδέχεται να μπορούν να ζωντανέψουν απροσδόκητα κατά την προβολή ή το άνοιγμα.
Για άλλη μια φορά, η ενημέρωση θα σας επαναφέρει στο ίδιο επίπεδο με τους εισβολείς, έτσι Μην καθυστερείτε/Επιδιορθώστε το σήμερα.
Τι να κάνω;
- Patch όσο πιο γρήγορα μπορείτε, όπως μόλις είπαμε παραπάνω.
- Διαβάστε το πλήρες Ανάλυση SophosLabs από αυτά τα σφάλματα και περισσότερες από 70 άλλες ενημερώσεις κώδικα, σε περίπτωση που δεν έχετε ακόμα πειστεί.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://nakedsecurity.sophos.com/2023/03/15/microsoft-fixes-two-0-days-on-patch-tuesday-update-now/
- :είναι
- $UP
- 1
- 2023
- 70
- 8
- a
- Ικανός
- Σχετικα
- πάνω από
- Απόλυτος
- κατάχρηση
- πρόσβαση
- Λογαριασμός
- ενεργός
- πραγματικά
- Πρόσθετος
- Προσθέτει
- διαφημίσεις
- κατά
- εμπρός
- Όλα
- ήδη
- μεταξύ των
- και
- Άλλος
- απάντηση
- ΕΙΝΑΙ
- AS
- At
- επίθεση
- Επιθέσεις
- πιστοποιώ την αυθεντικότητα
- Πιστοποίηση
- συγγραφέας
- αυτόματη
- αυτομάτως
- διαθέσιμος
- πίσω
- background-image
- βάση
- BE
- επειδή
- πριν
- Κομμάτι
- σύνορο
- Δυο πλευρες
- Κάτω μέρος
- φέρω
- γενικά
- Έντομο
- σφάλματα
- ενσωματωμένο
- by
- κλήση
- CAN
- περίπτωση
- Αιτία
- Κέντρο
- πρόκληση
- προκλήσεις
- έλεγχοι
- ισχυρισμός
- πελάτης
- κωδικός
- σύμπτωση
- χρώμα
- Ελάτε
- Υπολογίστε
- υπολογιστή
- Συνδετικός
- σύνδεση
- περιεχόμενο
- έλεγχος
- θα μπορούσε να
- κάλυμμα
- Ρεύμα
- εγκληματίες του κυβερνοχώρου
- ημερομηνία
- Ημ.
- οπωσδηποτε
- καθέκαστα
- DID
- ανακάλυψαν
- Display
- έγγραφα
- Όχι
- τομέα
- Όνομα Χώρου
- Μην
- λήψεις
- δραματικά
- αυτοκίνητο
- μεταγλωττισμένο
- κατά την διάρκεια
- είτε
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- επείγον
- Even
- ΠΑΝΤΑ
- Κάθε
- ακριβώς
- παράδειγμα
- υφιστάμενα
- Εξηγήστε
- Εκμεταλλεύομαι
- εκμετάλλευση
- Κακοποιημένα
- εξωτερικός
- επιπλέον
- έκθεση
- απομίμηση
- Λίπος
- Χαρακτηριστικό
- Χαρακτηριστικά
- Φεβρουάριος
- σχηματικός
- Αρχεία
- Αρχεία
- Firefox
- Όνομα
- ελάττωμα
- εξής
- Για
- Βρέθηκαν
- από
- πλήρη
- παίρνω
- δεδομένου
- Ματιά
- Go
- συνέβη
- χασίσι
- Έχω
- που έχει
- ύψος
- εδώ
- Τρύπες
- ελπίζω
- φτερουγίζω
- Πως
- Πώς να
- HTTPS
- i
- ID
- αναγνωριστικό
- εικόνες
- in
- περιστατικό
- απάντηση περιστατικού
- Συμπεριλαμβανομένου
- Νοημοσύνη
- Internet
- IT
- ΤΟΥ
- εαυτό
- Κλειδί
- Παιδί
- Ξέρω
- Γνωρίζοντας
- γνωστός
- επιγραφή
- Επίθετο
- οδηγήσει
- διαρροή
- Μήκος
- ζωή
- Μου αρέσει
- Πιθανός
- Περιωρισμένος
- λίγο
- τοποθεσία
- ματιά
- τύχη
- Macro
- που
- κάνω
- Μάρτιος
- Περιθώριο
- max-width
- μέσα
- Microsoft
- ενδέχεται να
- μικτός
- Μίξη
- στιγμή
- Μηνας
- περισσότερο
- πλέον
- MOTW
- όνομα
- δίκτυο
- κανονικός
- αριθμοί
- of
- Office
- επίσημος ανώτερος υπάλληλος
- Παλιά
- on
- ONE
- άνοιξε
- ΑΛΛΑ
- θέα
- εκτός
- δική
- παράθυρο
- κόμμα
- Κωδικός Πρόσβασης
- Patch
- μπάλωμα Τρίτη
- Patches
- Παύλος
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- θέση
- Δημοσιεύσεις
- ανάγκη
- ακριβώς
- αρκετά
- Προβολή
- προηγούμενος
- αρχή
- Προληπτική
- Επεξεργασμένο
- μεταποίηση
- προοδευτική
- προστατεύονται
- προστασία
- Προστατευτικός
- Αποδείξτε
- βάζω
- τυχαίος
- τυχαία
- μάλλον
- Διάβασε
- πραγματικός
- αναφέρεται
- απάντηση
- αναφέρθηκαν
- Απαιτεί
- απάντησης
- Επικίνδυνος
- περίπου
- Είπε
- ίδιο
- Αποθήκευση
- λέει
- Δεύτερος
- ασφάλεια
- αποστολή
- υπηρεσία
- Συνεδρίαση
- Κοντά
- θα πρέπει να
- Πλευρές
- ενιαίας
- So
- στέρεο
- μερικοί
- κάπως
- ειδικώς
- άνοιξη
- Εκκίνηση
- Ξεκινήστε
- ξεκινά
- Ακόμη
- αποθηκεύονται
- Ακολούθως
- Επιτυχώς
- τέτοιος
- SVG
- ότι
- Η
- τους
- Τους
- Αυτοί
- πράγματα
- φέτος
- απειλή
- ώρα
- προς την
- πολύ
- κορυφή
- διαμετακόμιση
- μετάβαση
- διαφανής
- θεραπεία
- Εμπιστευθείτε
- Τρίτη
- τύποι
- Ουκρανικά
- υποκείμενες
- Ενημέρωση
- ενημερώσεις
- URL
- us
- Χρήστες
- συνήθως
- επαληθεύει
- μέσω
- Θύμα
- Δες
- τόμος
- ευπάθεια
- Προειδοποιεί
- Τρόπος..
- Τι
- Ποιό
- Ο ΟΠΟΊΟΣ
- πλάτος
- Άγριος
- θα
- παράθυρα
- με
- χωρίς
- λόγια
- Εργασία
- λειτουργεί
- αξία
- θα
- Λανθασμένος
- έτος
- Εσείς
- Σας
- zephyrnet
- μηδέν