Η Microsoft αποκαλύπτει την ενημερωμένη έκδοση ασφαλείας 5 Zero-Days in ογκώδης Ιουλίου

Η Microsoft Ενημέρωση ασφαλείας Ιουλίου περιέχει διορθώσεις για 130 μοναδικές ευπάθειες, πέντε από τις οποίες οι εισβολείς εκμεταλλεύονται ήδη ενεργά στη φύση.

Η εταιρεία αξιολόγησε εννέα από τα ελαττώματα ως κρίσιμης σοβαρότητας και 121 από αυτά ως μέτρια ή σημαντική σοβαρότητα. Τα τρωτά σημεία επηρεάζουν ένα ευρύ φάσμα προϊόντων της Microsoft, συμπεριλαμβανομένων των Windows, Office, .Net, Azure Active Directory, προγραμμάτων οδήγησης εκτυπωτή, διακομιστή DMS και απομακρυσμένης επιφάνειας εργασίας. Η ενημέρωση περιείχε τον συνήθη συνδυασμό ατελειών απομακρυσμένης εκτέλεσης κώδικα (RCE), ζητήματα παράκαμψης ασφαλείας και κλιμάκωσης προνομίων, σφάλματα αποκάλυψης πληροφοριών και ευπάθειες άρνησης υπηρεσίας.

«Αυτός ο όγκος επιδιορθώσεων είναι ο υψηλότερος που έχουμε δει τα τελευταία χρόνια, αν και είναι»Δεν είναι ασυνήθιστο να βλέπουμε τη Microsoft να αποστέλλει μεγάλο αριθμό ενημερώσεων κώδικα ακριβώς πριν από το συνέδριο Black Hat USA», δήλωσε ο Dustin Childs, ερευνητής ασφαλείας στο Zero Day Initiative (ZDI) της Trend Micro, σε μια ανάρτηση στο blog.

Από την άποψη της ιεράρχησης προτεραιοτήτων, οι πέντε μηδενικές ημέρες που αποκάλυψε η Microsoft αυτή την εβδομάδα αξίζουν άμεσης προσοχής, σύμφωνα με ερευνητές ασφαλείας.

Το πιο σοβαρό από αυτά είναι CVE-2023-36884, ένα σφάλμα απομακρυσμένης εκτέλεσης κώδικα (RCE) στο Office και τα Windows HTML, για το οποίο η Microsoft δεν διέθετε ενημέρωση κώδικα για την ενημέρωση αυτού του μήνα. Η εταιρεία εντόπισε μια ομάδα απειλών που παρακολουθεί, τη Storm-0978, ότι εκμεταλλεύεται το ελάττωμα σε μια εκστρατεία phishing που στοχεύει κυβερνητικούς και αμυντικούς οργανισμούς στη Βόρεια Αμερική και την Ευρώπη.

Η εκστρατεία περιλαμβάνει τον ηθοποιό απειλών που διανέμει μια κερκόπορτα, που ονομάζεται RomCom, μέσω εγγράφων των Windows με θέματα που σχετίζονται με το Ουκρανικό Παγκόσμιο Συνέδριο. «Θύελλα-0978»Οι στοχευμένες επιχειρήσεις έχουν επηρεάσει κυβερνητικούς και στρατιωτικούς οργανισμούς κυρίως στην Ουκρανία, καθώς και οργανισμούς στην Ευρώπη και τη Βόρεια Αμερική που ενδέχεται να εμπλέκονται στις ουκρανικές υποθέσεις». είπε η Microsoft σε ένα blog ανάρτηση που συνόδευε την ενημέρωση ασφαλείας του Ιουλίου. «Οι επιθέσεις ransomware που έχουν εντοπιστεί έχουν επηρεάσει, μεταξύ άλλων, τις βιομηχανίες τηλεπικοινωνιών και χρηματοδότησης».

Ο Dustin Childs, ένας άλλος ερευνητής στο ZDI, προειδοποίησε τους οργανισμούς να αντιμετωπίζουν το CVE-2023-36884 ως ένα «κρίσιμο» ζήτημα ασφάλειας, παρόλο που η ίδια η Microsoft το έχει αξιολογήσει ως ένα σχετικά λιγότερο σοβαρό, «σημαντικό» σφάλμα. «Η Microsoft έχει κάνει την περίεργη ενέργεια της κυκλοφορίας αυτού του CVE χωρίς ένα έμπλαστρο. Οτι»έρχεται ακόμα», έγραψε η Childs σε μια ανάρτηση στο blog. «Σαφώς, εκεί»έχει πολλά περισσότερα για αυτό το κατόρθωμα από όσα λέγονται."

Δύο από τα πέντε τρωτά σημεία που αξιοποιούνται ενεργά είναι ελαττώματα παράκαμψης ασφαλείας. Ένα επηρεάζει το Microsoft Outlook (CVE-2023-35311) και το άλλο περιλαμβάνει το Windows SmartScreen (CVE-2023-32049). Και τα δύο τρωτά σημεία απαιτούν αλληλεπίδραση με τον χρήστη, πράγμα που σημαίνει ότι ένας εισβολέας θα μπορεί να τα εκμεταλλευτεί μόνο πείθοντας έναν χρήστη να κάνει κλικ σε μια κακόβουλη διεύθυνση URL. Με το CVE-2023-32049, ένας εισβολέας θα μπορεί να παρακάμψει την προτροπή Open File – Security Warning, ενώ το CVE-2023-35311 δίνει στους εισβολείς έναν τρόπο να κρυφτούν την επίθεσή τους μέσω της ειδοποίησης ασφαλείας του Microsoft Outlook.

«Είναι σημαντικό να σημειωθεί ότι το [CVE-2023-35311] επιτρέπει συγκεκριμένα την παράκαμψη των χαρακτηριστικών ασφαλείας του Microsoft Outlook και δεν επιτρέπει την απομακρυσμένη εκτέλεση κώδικα ή την κλιμάκωση προνομίων», δήλωσε ο Mike Walters, αντιπρόεδρος έρευνας ευπάθειας και απειλών στο Action1. «Ως εκ τούτου, οι επιτιθέμενοι είναι πιθανό να το συνδυάσουν με άλλα κατορθώματα για μια ολοκληρωμένη επίθεση. Η ευπάθεια επηρεάζει όλες τις εκδόσεις του Microsoft Outlook από το 2013 και μετά», σημείωσε σε ένα email στο Dark Reading.

Ο Kev Breen, διευθυντής έρευνας για τις απειλές στον κυβερνοχώρο στο Immersive Labs, αξιολόγησε την άλλη παράκαμψη ασφαλείας zero-day - CVE-2023-32049 — ως ένα άλλο σφάλμα που πιθανότατα θα χρησιμοποιήσουν οι φορείς απειλών ως μέρος μιας ευρύτερης αλυσίδας επιθέσεων.

Οι άλλες δύο μηδενικές ημέρες στο πιο πρόσφατο σύνολο ενημερώσεων κώδικα της Microsoft επιτρέπουν και οι δύο κλιμάκωση των προνομίων. Ερευνητές στην Ομάδα Ανάλυσης Απειλών της Google ανακάλυψαν ένα από αυτά. Το ελάττωμα, παρακολουθείται ως CVE-2023-36874, είναι ένα ζήτημα ανύψωσης προνομίων στην υπηρεσία Αναφορά σφαλμάτων των Windows (WER) που δίνει στους εισβολείς έναν τρόπο να αποκτήσουν δικαιώματα διαχείρισης σε ευάλωτα συστήματα. Ένας εισβολέας θα χρειαζόταν τοπική πρόσβαση σε ένα επηρεαζόμενο σύστημα για να εκμεταλλευτεί το ελάττωμα, το οποίο θα μπορούσε να κερδίσει μέσω άλλων εκμεταλλεύσεων ή μέσω κακής χρήσης διαπιστευτηρίων.

«Η υπηρεσία WER είναι μια δυνατότητα στα λειτουργικά συστήματα Microsoft Windows που συλλέγει και στέλνει αυτόματα αναφορές σφαλμάτων στη Microsoft όταν κάποιο λογισμικό διακόπτεται ή αντιμετωπίζει άλλους τύπους σφαλμάτων», δήλωσε ο Tom Bowyer, ερευνητής ασφαλείας στο Automox. "Αυτή η ευπάθεια μηδενικής ημέρας αξιοποιείται ενεργά, επομένως εάν το WER χρησιμοποιείται από τον οργανισμό σας, συνιστούμε να το διορθώσετε εντός 24 ωρών", είπε.

Η άλλη αύξηση του σφάλματος προνομίων στην ενημέρωση ασφαλείας του Ιουλίου που οι εισβολείς ήδη εκμεταλλεύονται ενεργά είναι CVE-2023-32046 στην πλατφόρμα Windows MSHTM της Microsoft, γνωστή και ως μηχανή απόδοσης προγράμματος περιήγησης «Trident». Όπως συμβαίνει με πολλά άλλα σφάλματα, έτσι και αυτό απαιτεί κάποιο επίπεδο αλληλεπίδρασης με τον χρήστη. Σε ένα σενάριο επίθεσης email για να εκμεταλλευτεί το σφάλμα, ένας εισβολέας θα πρέπει να στείλει σε έναν στοχευμένο χρήστη ένα ειδικά διαμορφωμένο αρχείο και να τον κάνει να το ανοίξει. Σε μια επίθεση που βασίζεται στο Web, ένας εισβολέας θα πρέπει να φιλοξενήσει έναν κακόβουλο ιστότοπο - ή να χρησιμοποιήσει έναν παραβιασμένο - για να φιλοξενήσει ένα ειδικά διαμορφωμένο αρχείο και στη συνέχεια να πείσει το θύμα να το ανοίξει, είπε η Microsoft.

RCE στη δρομολόγηση των Windows, υπηρεσία απομακρυσμένης πρόσβασης

Οι ερευνητές ασφαλείας επεσήμαναν τρία τρωτά σημεία RCE στην υπηρεσία δρομολόγησης και απομακρυσμένης πρόσβασης των Windows (RRAS) (CVE-2023-35365, CVE-2023-35366, να CVE-2023-35367) αξίζει την προσοχή κατά προτεραιότητα όπως όλα. Η Microsoft έχει αξιολογήσει και τα τρία τρωτά σημεία ως κρίσιμα και τα τρία έχουν βαθμολογία CVSS 9.8. Η υπηρεσία δεν είναι διαθέσιμη από προεπιλογή στον Windows Server και βασικά επιτρέπει στους υπολογιστές που εκτελούν το λειτουργικό σύστημα να λειτουργούν ως δρομολογητές, διακομιστές VPN και διακομιστές μέσω τηλεφώνου, δήλωσε ο Bowyer της Automox. «Ένας επιτυχημένος εισβολέας θα μπορούσε να τροποποιήσει τις διαμορφώσεις δικτύου, να κλέψει δεδομένα, να μετακινηθεί σε άλλα πιο κρίσιμα/σημαντικά συστήματα ή να δημιουργήσει πρόσθετους λογαριασμούς για μόνιμη πρόσβαση στη συσκευή."

Σφάλματα διακομιστή SharePoint

Η μαμούθ ενημέρωση Ιουλίου της Microsoft περιείχε επιδιορθώσεις για τέσσερα τρωτά σημεία RCE στον διακομιστή SharePoint, ο οποίος έγινε πρόσφατα δημοφιλής στόχος εισβολέων. Η Microsoft αξιολόγησε δύο από τα σφάλματα ως "σημαντικά" (CVE-2023-33134 και CVE-2023-33159) και τα άλλα δύο ως «κρίσιμα» (CVE-2023-33157 και CVE-2023-33160). «Όλα απαιτούν από τον εισβολέα να πιστοποιηθεί η ταυτότητα ή ο χρήστης να εκτελέσει μια ενέργεια που, ευτυχώς, μειώνει τον κίνδυνο παραβίασης», δήλωσε ο Yoav Iellin, ανώτερος ερευνητής στο Silverfort. "Ακόμα κι έτσι, καθώς το SharePoint μπορεί να περιέχει ευαίσθητα δεδομένα και συνήθως εκτίθεται εκτός του οργανισμού, όσοι χρησιμοποιούν τις εσωτερικές ή υβριδικές εκδόσεις θα πρέπει να ενημερώσουν."

Οργανισμοί που πρέπει να συμμορφώνονται με κανονισμούς όπως FEDRAMP, PCI, HIPAA, SOC2 και παρόμοιους κανονισμούς θα πρέπει να δώσουν προσοχή σε CVE-2023-35332: ένα ελάττωμα παράκαμψης δυνατοτήτων ασφαλείας πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας των Windows, δήλωσε ο Dor Dali, επικεφαλής έρευνας της Cyolo. Η ευπάθεια έχει να κάνει με τη χρήση απαρχαιωμένων και απαρχαιωμένων πρωτοκόλλων, συμπεριλαμβανομένου του Datagram Transport Layer Security (DTLS) έκδοσης 1.0, το οποίο παρουσιάζει σημαντικό κίνδυνο ασφάλειας και συμμόρφωσης στους οργανισμούς, είπε. Σε περιπτώσεις όπου ένας οργανισμός δεν μπορεί να ενημερώσει αμέσως, θα πρέπει να απενεργοποιήσει την υποστήριξη UDP στην πύλη RDP, είπε.

Επιπλέον, η Microsoft δημοσίευσε μια συμβουλευτική σχετικά με την έρευνά της σχετικά με πρόσφατες αναφορές σχετικά με παράγοντες απειλών που χρησιμοποιούν προγράμματα οδήγησης πιστοποιημένα από τη Microsoft»s Windows Hardware Developer Program (MWHDP) σε δραστηριότητα μετά την εκμετάλλευση.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/application-security/microsoft-discloses–zero-days-in-voluminous-july-security-update