Microsoft avalikustab 5 nullpäeva mahuka juulikuu turvavärskenduse

Microsoftiga juuli turvavärskendus sisaldab parandusi tohutult 130 unikaalsele haavatavusele, millest viit ründajad juba looduses aktiivselt ära kasutavad.

Ettevõte hindas üheksa viga kriitilise raskusastmega ja 121 neist keskmise või olulise raskusastmega. Haavatavus mõjutab laia valikut Microsofti tooteid, sealhulgas Windows, Office, .Net, Azure Active Directory, printeridraiverid, DMS-server ja kaugtöölaud. Värskendus sisaldas tavalist kombinatsiooni koodi kaugkäivitamise (RCE) vigadest, turbest möödaviimise ja privileegide eskalatsiooni probleemidest, teabe avalikustamise vigadest ja teenuse keelamise haavatavusest.

„See paranduste hulk on viimaste aastate suurim, kuigi see on nii"Pole ebatavaline, et Microsoft tarnib suurel hulgal plaastreid vahetult enne Black Hat USA konverentsi,” ütles Dustin Childs, Trend Micro Zero Day Initiative'i (ZDI) turvateadlane blogipostituses.

Turvauurijate sõnul väärivad Microsofti sel nädalal avalikustatud viis nullpäeva kohest tähelepanu paiga prioriseerimise seisukohast.

Kõige tõsisem neist on CVE-2023-36884, Office'i ja Windowsi HTML-i kaugkäitamise (RCE) viga, mille jaoks Microsoftil selle kuu värskenduses plaastrit polnud. Ettevõte tuvastas, et ohurühm, mida ta jälgib, Storm-0978, kasutab ära andmepüügikampaania viga, mis oli suunatud Põhja-Ameerika ja Euroopa valitsus- ja kaitseorganisatsioonidele.

Kampaania hõlmab ähvardajat, kes jagab Ukraina maailmakongressiga seotud teemadega Windowsi dokumentide kaudu tagaukse nimega RomCom. "Torm-0978"sihitud operatsioonid on mõjutanud valitsus- ja sõjalisi organisatsioone peamiselt Ukrainas, aga ka organisatsioone Euroopas ja Põhja-Ameerikas, mis võivad olla seotud Ukraina asjadega. Microsoft ütles ajaveebis juulikuu turvavärskendusega kaasnenud postitus. "Tuvastatud lunavararünnakud on muu hulgas mõjutanud telekommunikatsiooni- ja finantstööstust."

ZDI teine ​​teadlane Dustin Childs hoiatas organisatsioone, et nad käsitleksid CVE-2023-36884 kui "kriitilist" turbeprobleemi, kuigi Microsoft ise on seda hinnanud suhteliselt vähem tõsiseks, "oluliseks" veaks. "Microsoft on selle CVE avaldamiseks teinud kummalise toimingu ilma plaaster. See"on veel tulemas, ”kirjutas Childs ajaveebipostituses. "Selge, seal"selle ärakasutamise jaoks on palju rohkem, kui öeldakse.

Kaks viiest turvaaugust, mida aktiivselt ära kasutatakse, on turvalisuse möödaviiguvead. Üks mõjutab Microsoft Outlooki (CVE-2023-35311) ja teine ​​hõlmab Windows SmartScreeni (CVE-2023-32049). Mõlemad haavatavused nõuavad kasutaja sekkumist, mis tähendab, et ründaja saab neid ära kasutada ainult siis, kui veenab kasutajat klõpsama pahatahtlikul URL-il. CVE-2023-32049 puhul saaks ründaja avada faili – turvahoiatuse viibast mööda minna, samas kui CVE-2023-35311 annab ründajatele võimaluse rünnata Microsoft Outlooki turvateatise viiba abil.

"Oluline on märkida, et [CVE-2023-35311] võimaldab konkreetselt Microsoft Outlooki turvafunktsioonidest mööda minna ega võimalda koodi kaugkäivitamist ega privileegide eskaleerimist," ütles Action1 haavatavuse ja ohuuuringute asepresident Mike Walters. "Seetõttu ühendavad ründajad selle tõenäoliselt laiahaardeliseks rünnakuks teiste ärakasutamistega. Haavatavus mõjutab kõiki Microsoft Outlooki versioone alates 2013. aastast,” märkis ta Dark Readingile saadetud meilis.

Immersive Labsi küberohtude uurimise direktor Kev Breen hindas teist nullpäeva turvalisuse ümbersõitu - CVE-2023-32049 – veel üks viga, mida ohus osalejad tõenäoliselt laiema ründeahela osana kasutavad.

Kaks ülejäänud nullpäeva Microsofti uusimas paigakomplektis võimaldavad mõlemad privileegide eskalatsiooni. Google'i ohuanalüüsi grupi teadlased avastasid ühe neist. Viga, jälgitud kui CVE-2023-36874, on Windowsi tõrketeavitamise (WER) teenuse privileegide tõstmise probleem, mis annab ründajatele võimaluse saada haavatavates süsteemides administraatoriõigusi. Ründaja vajaks vigade ärakasutamiseks kohalikku juurdepääsu mõjutatud süsteemile, mida nad võivad saada muude ärakasutamiste või mandaadi väärkasutuse kaudu.

"WER-teenus on Microsoft Windowsi operatsioonisüsteemide funktsioon, mis kogub ja saadab Microsoftile automaatselt veateateid, kui teatud tarkvara jookseb kokku või esineb muud tüüpi tõrkeid," ütles Automoxi turvateadlane Tom Bowyer. "Seda nullpäeva haavatavust kasutatakse aktiivselt ära, nii et kui teie organisatsioon kasutab WER-i, soovitame paika panna 24 tunni jooksul," ütles ta.

Teine juulikuu turvavärskenduse privileegiviga, mida ründajad juba aktiivselt ära kasutavad, on CVE-2023-32046 Microsofti Windows MSHTM platvormil ehk brauseri „Trident” renderdusmootoril. Nagu paljude teiste vigade puhul, nõuab ka see kasutaja teatud tasemel suhtlemist. E-posti rünnaku stsenaariumi korral peaks ründaja vea ärakasutamiseks saatma sihitud kasutajale spetsiaalselt koostatud faili ja laskma kasutajal seda avada. Veebipõhise rünnaku korral peaks ründaja hostima pahatahtlikku veebisaiti või kasutama ohustatud veebisaiti, et majutada spetsiaalselt loodud faili ja seejärel veenda ohvrit seda avama, ütles Microsoft.

RCE-d Windowsi marsruutimises, kaugjuurdepääsu teenuses

Turvateadlased osutasid kolmele RCE haavatavusele Windowsi marsruutimise ja kaugjuurdepääsu teenuses (RRAS) (CVE-2023-35365, CVE-2023-35366ja CVE-2023-35367), mis väärivad prioriteetset tähelepanu nagu kõik. Microsoft on hinnanud kõik kolm turvaauku kriitiliseks ja kõigi kolme CVSS-i skoor on 9.8. Teenus pole Windows Serveris vaikimisi saadaval ja võimaldab põhimõtteliselt OS-i kasutavatel arvutitel töötada ruuterite, VPN-serverite ja sissehelistamisserveritena, ütles Automoxi Bowyer. "Edukas ründaja võib muuta võrgu konfiguratsioone, varastada andmeid, liikuda muudesse kriitilisematesse/tähtsamatesse süsteemidesse või luua seadmele püsivaks juurdepääsuks täiendavaid kontosid."

SharePointi serveri vead

Microsofti mammut juulikuu värskendus sisaldas parandusi neljale RCE haavatavusele SharePointi serveris, mis on viimasel ajal muutunud populaarseks ründajate sihtmärgiks. Microsoft hindas kahte viga "oluliseks" (CVE-2023-33134 ja CVE-2023-33159) ja ülejäänud kaks kui "kriitilised" (CVE-2023-33157 ja CVE-2023-33160). "Kõik need nõuavad ründaja autentimist või kasutajalt toimingu sooritamist, mis õnneks vähendab rikkumise riski," ütles Silverforti vanemteadur Yoav Iellin. "Kuigi SharePoint võib sisaldada tundlikke andmeid ja on tavaliselt väljastpoolt organisatsiooni avaldatud, peaksid need, kes kasutavad kohapealseid või hübriidversioone, värskendama."

Organisatsioonid, mis peavad järgima selliseid eeskirju nagu FEDRAMP, PCI, HIPAA, SOC2 ja sarnased eeskirjad, peaksid pöörama tähelepanu CVE-2023-35332: Windows Remote Desktop Protocol Security Funktsiooni ümbersõidu viga, ütles Cyolo uuringute juht Dor Dali. Ta ütles, et haavatavus on seotud vananenud ja aegunud protokollide, sealhulgas Datagrami transpordikihi turvalisuse (DTLS) versiooni 1.0 kasutamisega, mis kujutab endast organisatsioonidele olulist turva- ja vastavusriski. Olukordades, kus organisatsioon ei saa kohe värskendada, peaksid nad RDP lüüsis UDP-toe keelama, ütles ta.

Lisaks Microsoft avaldas nõuandva hiljutiste teadete kohta, mis käsitlevad Microsofti sertifitseeritud draivereid kasutavaid ohutegureid"s Windowsi riistvaraarendaja programm (MWHDP) kasutusjärgses tegevuses.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
• Allikas: https://www.darkreading.com/application-security/microsoft-discloses–zero-days-in-voluminous-july-security-update