Tänu tänavuse veebruari täpsele neljanädalasele pikkusele juhtus taas kord eelmise kuu Firefoxi ja Microsofti uuenduste kokkulangevus.
Eelmisel kuul tegeles Microsoft kolm nullipäeva, mille all peame silmas turvaauke, mille küberkurjategijad esimesena leidsid, ja mõtlesid välja, kuidas reaalsetes rünnakutes kuritarvitada, enne kui plaastrid olid saadaval.
(Nimi null-päevvõi lihtsalt 0 päeva, tuletab meelde tõsiasja, et isegi kõige edumeelsemad ja proaktiivsemad lapitajad meie seast nautisid täpselt null päeva, mille jooksul oleksime võinud kelmidest ees olla.)
2023. aasta märtsis on kaks nullpäevaparandust, üks sisemine väljavaadeja teine sisse Windowsi SmartScreen.
Looduses avastatud vea kohta on intrigeeriv, kuigi Microsoft teatas sellest üsna lahkelt. Tuvastati ärakasutamine, omistatakse ühiselt Outlooki veale CERT-UA (Ukraina Computer Emergency Response Team), Microsoft Incident Response ja Microsoft Threat Intelligence.
Saate sellest teha, mida soovite.
Outlook EoP
See viga, dubleeritud CVE-2023-23397: Microsoft Outlooki õiguste tõstmise haavatavus (EoP), on kirjeldatud järgmiselt:
Seda haavatavust edukalt ära kasutanud ründaja pääseb ligi kasutaja Net-NTLMv2 räsile, mida saab kasutada kasutajana autentimiseks NTLM-i edastamise rünnaku aluseks teise teenuse vastu. […]
Ründaja võib seda haavatavust ära kasutada, saates spetsiaalselt koostatud meili, mis käivitub automaatselt, kui Outlooki klient selle toodab ja töötleb. See võib viia ärakasutamiseni ENNE e-kirja vaatamist eelvaatepaanil. […]
Välised ründajad võivad saata spetsiaalselt koostatud e-kirju, mis loovad ühenduse ohvrilt ründajate kontrolli all oleva välise UNC asukohaga. See lekitab ohvri Net-NTLMv2 räsi ründajale, kes saab selle seejärel edastada teisele teenusele ja end ohvrina autentida.
Selgitamiseks (niipalju kui me arvata oskame, arvestades, et meil pole rünnaku kohta täpsemaid andmeid).
Net-NTLMv2 autentimine, mida me nimetame lühidalt NTLM2-ks, toimib ligikaudu järgmiselt:
- Asukoht, millega ühendate saadab üle 8 juhusliku baiti tuntud kui väljakutse.
- Sinu arvuti genereerib oma 8 juhuslikku baiti.
- sa arvutada kahe väljakutsestringi HMAC-MD5 võtmega räsi kasutades võtmena oma parooli olemasolevat turvaliselt salvestatud räsi.
- sa saatke välja võtmega räsi ja oma 8-baidine väljakutse.
- Teises otsas on nüüd nii 8-baidised väljakutsed kui ka teie ühekordne vastus, seega saab arvutage võtmega räsi ümber ja kontrollige oma vastust.
Tegelikult on selles palju enamat, sest tegelikult on kaks võtmega räsi, millest üks segab kaks 8-baidist juhusliku väljakutse numbrit ja teine lisaandmeid, sealhulgas teie kasutajanimi, domeeninimi ja praegune kellaaeg.
Kuid aluspõhimõte on sama.
Teie tegelikku parooli ega teie parooli salvestatud räsi (nt Active Directoryst) ei edastata kunagi, seega ei saa see edastamisel lekkida.
Lisaks saavad mõlemad pooled iga kord sisestada 8 baiti omaenda juhuslikkust, mis takistab kummalgi osapoolel vana väljakutsestringi hiilivalt uuesti kasutamast lootuses saada sama võtmega räsi, mis eelmisel seansil.
(Ajasse mähkimine ja muud sisselogimisspetsiifilised andmed lisab lisakaitset nn kordusrünnakud, kuid me ignoreerime neid üksikasju siin.)
Istub keskel
Nagu võite ette kujutada, võttes arvesse, et ründaja võib meelitada teid proovima oma võltsserverisse "sisse logida" (kas siis, kui loed võltsitud meili või, mis veelgi hullem, kui Outlook hakkab seda teie nimel töötlema, enne kui saate pilguheit sellele, kui võlts see võib välja näha), lekite lõpuks ühe kehtiva NTLM2 vastuse.
Selle vastuse eesmärk on tõestada teisele poolele mitte ainult seda, et te tõesti teate selle konto parooli, mille kohta väidate, et see on teie oma, vaid ka seda, et te ei kasuta lihtsalt eelmist vastust uuesti. .
Seega, nagu Microsoft hoiatab, võib ründaja, kes oskab asju õigesti ajastada, alustada autentimist autentses serveris nagu teie, ilma teie parooli või selle räsi teadmata, et saada 8-baidine käivitamisväljakutse pärisserverist...
…ja seejärel edastage see väljakutse teile sel hetkel, kui teid pettakse proovima nende võltsserverisse sisse logida.
Kui arvutate seejärel välja võtmega räsi ja saadate selle tagasi kui "tõend, et ma tean praegu oma parooli", võivad kelmid saata selle õigesti arvutatud vastuse tagasi ehtsasse serverisse, kuhu nad üritavad tungida, ja seega. et meelitada seda serverit vastu võtma, nagu oleksid nad teie.
Lühidalt öeldes tahate kindlasti selle vastu lappida, sest isegi kui rünnak nõuab palju katseid, aega ja õnne ning see pole väga tõenäoline, teame juba, et tegemist on "Kasutamine tuvastatud".
Teisisõnu, rünnak saab toimima panna ja see on vähemalt korra õnnestunud pahaaimamatu ohvri vastu, kes enda arvates ei teinud midagi riskantset ega valesti.
SmartScreeni turvalisuse ümbersõit
Teine nullpäev on CVE-2023-24880, ja seda päris palju kirjeldab ise: Windows SmartScreeni turbefunktsiooni möödaviigu haavatavus.
Lihtsamalt öeldes märgistab Windows tavaliselt Interneti kaudu saabuvad failid lipuga, mis ütleb: „See fail tuli väljastpoolt; ravige seda lastekinnastega ja ärge usaldage seda liiga palju.
Seda kust-see-tuli-lippu nimetati varem failiks Interneti tsoon identifikaator ja see tuletab Windowsile meelde, kui palju (või kui vähe) peaks ta selle faili sisusse usaldama, kui seda hiljem kasutatakse.
Nendel päevadel Tsooni ID (mis on väärt, ID 3 tähistab "Internetist") on tavaliselt viidatud dramaatilisema ja meeldejäävama nimega Mark Of The Webvõi MotW lühidalt.
Tehniliselt salvestatakse see tsooni ID koos failiga nn an Alternatiivne andmevoogvõi ADS, kuid failid võivad sisaldada ADS-i andmeid ainult siis, kui need on salvestatud NTFS-vormingus Wiindowsi ketastele. Kui salvestate faili näiteks FAT-köitele või kopeerite selle mitte-NTFS-draivile, läheb tsooni ID kaotsi, seega on see kaitsesilt mõnevõrra piiratud.
See viga tähendab, et mõned väljastpoolt saabuvad failid (nt allalaaditavad failid või meilimanused) ei märgita õiget MotW-identifikaatorit, mistõttu nad hiilivad Microsofti ametlikest turvakontrollidest hiilivalt kõrvale.
Microsoftiga avalik teade ei ütle täpselt, mis tüüpi faile (pildid? Office'i dokumendid? PDF-id? kõik need?) võib teie võrku sel viisil imbuda, kuid hoiatab väga laialt, et "Turvafunktsioonid, nagu Microsoft Office'i kaitstud vaade" saab selle nipiga mööda minna.
Arvame, et see tähendab, et pahatahtlikud failid, mis muudetakse tavaliselt kahjutuks, näiteks kui sisseehitatud makrokood on alla surutud, võivad vaatamisel või avamisel ootamatult ellu ärkama.
Taaskord toob värskendus teid tagasi ründajatega võrdsele tasemele, nii et Ärge viivitage / parandage seda täna.
Mida teha?
- Paigutage niipea kui võimalik, nagu me just eespool ütlesime.
- Loe kogu SophosLabsi analüüs neist vigadest ja rohkem kui 70 muud plaastrit, juhuks kui te pole ikka veel veendunud.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://nakedsecurity.sophos.com/2023/03/15/microsoft-fixes-two-0-days-on-patch-tuesday-update-now/
- :on
- $ UP
- 1
- 2023
- 70
- 8
- a
- Võimalik
- MEIST
- üle
- absoluutne
- kuritarvitamise
- juurdepääs
- konto
- aktiivne
- tegelikult
- Täiendavad lisad
- Lisab
- kuulutused
- vastu
- eespool
- Materjal: BPA ja flataatide vaba plastik
- juba
- hulgas
- ja
- Teine
- vastus
- OLEME
- AS
- At
- rünnak
- Reageerib
- autentida
- Autentimine
- autor
- auto
- automaatselt
- saadaval
- tagasi
- background-image
- alus
- BE
- sest
- enne
- Natuke
- piir
- Mõlemad pooled
- põhi
- tooma
- üldjoontes
- Bug
- vead
- sisseehitatud
- by
- helistama
- CAN
- juhul
- Põhjus
- keskus
- väljakutse
- väljakutseid
- Kontroll
- nõudma
- klient
- kood
- juhus
- värv
- Tulema
- Arvutama
- arvuti
- ühendamine
- ühendus
- sisu
- kontrollida
- võiks
- cover
- Praegune
- küberkurjategijad
- andmed
- Päeva
- kindlasti
- detailid
- DID
- avastasin
- Ekraan
- dokumendid
- Ei tee
- domeen
- Domeeninimi
- Ära
- allalaadimine
- dramaatiliselt
- ajam
- dubleeritud
- ajal
- kumbki
- kirju
- avarii
- Isegi
- KUNAGI
- Iga
- täpselt
- näide
- olemasolevate
- Selgitama
- Ekspluateeri
- kasutamine
- Exploited
- väline
- lisatasu
- õiglane
- võlts
- Rasv
- tunnusjoon
- FUNKTSIOONID
- Veebruar
- arvasin
- fail
- Faile
- Firefox
- esimene
- viga
- järgneb
- eest
- avastatud
- Alates
- täis
- saama
- antud
- Pilk
- Go
- juhtus
- hash
- Olema
- võttes
- kõrgus
- siin
- Augud
- lootus
- hõljuma
- Kuidas
- Kuidas
- HTTPS
- i
- ID
- tunnus
- pildid
- in
- juhtum
- intsidentidele reageerimine
- Kaasa arvatud
- Intelligentsus
- Internet
- IT
- ITS
- ise
- Võti
- laps
- Teadma
- Teades
- teatud
- silt
- viimane
- viima
- lekkima
- Pikkus
- elu
- nagu
- Tõenäoliselt
- piiratud
- vähe
- liising
- Vaata
- õnn
- Makro
- tehtud
- tegema
- Märts
- Varu
- max laiuse
- vahendid
- Microsoft
- võib
- segatud
- Segamine
- hetk
- kuu
- rohkem
- kõige
- MOTW
- nimi
- võrk
- normaalne
- numbrid
- of
- Office
- ametlik
- Vana
- on
- ONE
- avatud
- Muu
- väljavaade
- väljaspool
- enda
- pane
- partei
- Parool
- Plaaster
- Patch teisipäev
- Paikade
- Paul
- Platon
- Platoni andmete intelligentsus
- PlatoData
- positsioon
- Postitusi
- vajadus
- täpselt
- ilus
- Eelvaade
- eelmine
- põhimõte
- Proaktiivne
- Töödeldud
- töötlemine
- progressiivne
- kaitstud
- kaitse
- Kaitsev
- Tõesta
- panema
- juhuslik
- juhuslikkus
- pigem
- Lugenud
- reaalne
- nimetatud
- vastus
- Teatatud
- Vajab
- vastus
- Riskantne
- ligikaudu
- Ütlesin
- sama
- Säästa
- ütleb
- Teine
- turvalisus
- saatmine
- teenus
- istung
- Lühike
- peaks
- Küljed
- ühekordne
- So
- tahke
- mõned
- mõnevõrra
- spetsiaalselt
- kevad
- algus
- Käivitus
- algab
- Veel
- ladustatud
- Järgnevalt
- Edukalt
- selline
- SVG
- meeskond
- et
- .
- oma
- Neile
- Need
- asjad
- Sel aastal
- oht
- aeg
- et
- liiga
- ülemine
- transiit
- üleminek
- läbipaistev
- käsitlema
- Usalda
- Teisipäev
- liigid
- ukraina
- aluseks
- Värskendused
- Uudised
- URL
- us
- Kasutaja
- tavaliselt
- kontrollima
- kaudu
- Ohver
- vaade
- maht
- haavatavus
- Hoiatab
- Tee..
- M
- mis
- WHO
- laius
- Metsik
- will
- aknad
- koos
- ilma
- sõnad
- Töö
- töötab
- väärt
- oleks
- Vale
- aasta
- sa
- Sinu
- sephyrnet
- null