Microsoft julkistaa 5 nollapäivää kattavassa heinäkuun tietoturvapäivityksessä

Microsoftin Heinäkuun tietoturvapäivitys sisältää korjauksia huimiin 130 ainutlaatuiseen haavoittuvuuteen, joista viittä hyökkääjät käyttävät jo aktiivisesti hyväkseen luonnossa.

Yritys arvioi puutteista yhdeksän kriittisen vakavuuden ja niistä 121 kohtalaisen tai tärkeän vakavuuden. Haavoittuvuudet vaikuttavat useisiin Microsoft-tuotteisiin, mukaan lukien Windows, Office, .Net, Azure Active Directory, tulostinajurit, DMS-palvelin ja etätyöpöytä. Päivitys sisälsi tavanomaisen yhdistelmän koodin etäsuorittamisen (RCE) puutteita, tietoturvan ohitus- ja oikeuksien eskalointiongelmia, tietojen paljastamiseen liittyviä virheitä ja palvelunestohaavoittuvuuksia.

”Tämä korjausmäärä on suurin, mitä olemme nähneet viime vuosina, vaikka se onkin"ei ole epätavallista, että Microsoft toimittaa suuren määrän korjaustiedostoja juuri ennen Black Hat USA -konferenssia", sanoi Dustin Childs, Trend Micron Zero Day Initiativen (ZDI) tietoturvatutkija blogikirjoituksessaan.

Korjausten priorisoinnin näkökulmasta Microsoftin tällä viikolla julkistamat viisi nollapäivää ansaitsevat tietoturvatutkijoiden mukaan välitöntä huomiota.

Vakavin niistä on CVE-2023-36884, Officen ja Windows HTML:n etäsuorittamisen (RCE) bugi, jolle Microsoftilla ei ollut korjaustiedostoa tämän kuun päivityksessä. Yhtiö tunnisti jäljittämänsä uhkaryhmän, Storm-0978:n, joka käyttää hyväkseen virhettä tietojenkalastelukampanjassa, joka on kohdistettu Pohjois-Amerikan ja Euroopan hallitukseen ja puolustusorganisaatioihin.

Kampanjassa uhkatoimija jakaa takaovea, nimeltään RomCom, Windows-dokumenttien kautta, joiden teemat liittyvät Ukrainan maailmankongressiin. "Myrsky-0978"Kohdennettujen operaatioiden on vaikuttanut ensisijaisesti Ukrainan hallitus- ja sotilasorganisaatioihin sekä järjestöihin Euroopassa ja Pohjois-Amerikassa, jotka mahdollisesti ovat mukana Ukrainan asioissa. Microsoft sanoi blogissaan heinäkuun tietoturvapäivityksen mukana tullut viesti. "Tunnistaneet lunnasohjelmahyökkäykset ovat vaikuttaneet muun muassa televiestintä- ja rahoitusteollisuuteen."

Dustin Childs, toinen ZDI:n tutkija, varoitti organisaatioita pitämään CVE-2023-36884:ää "kriittisenä" tietoturvaongelmana, vaikka Microsoft itse on arvioinut sen suhteellisen vähemmän vakavaksi, "tärkeäksi" virheeksi. "Microsoft on ryhtynyt oudoihin toimiin julkaistakseen tämän CVE:n ilman laastari. Että"on vielä tulossa", Childs kirjoitti blogikirjoituksessaan. "Selvästi siellä"on paljon enemmän tälle hyväksikäytölle kuin mitä sanotaan."

Kaksi viidestä aktiivisesti hyödynnetystä haavoittuvuudesta on suojauksen ohitusvirheitä. Yksi vaikuttaa Microsoft Outlookiin (CVE-2023-35311) ja toinen liittyy Windows SmartScreeniin (CVE-2023-32049). Molemmat haavoittuvuudet edellyttävät käyttäjän toimia, mikä tarkoittaa, että hyökkääjä voisi käyttää niitä hyväkseen vain vakuuttamalla käyttäjän napsauttamaan haitallista URL-osoitetta. CVE-2023-32049:n avulla hyökkääjä voisi ohittaa Open File – Security Warning -kehotteen, kun taas CVE-2023-35311 antaa hyökkääjille tavan hiipiä hyökkäyksensä Microsoft Outlook Security Notice -kehotteen avulla.

"On tärkeää huomata, että [CVE-2023-35311] sallii erityisesti Microsoft Outlookin suojausominaisuuksien ohituksen, eikä se salli koodin etäsuorittamisen tai oikeuksien eskaloinnin", sanoi Mike Walters, Action1:n haavoittuvuuksien ja uhkien tutkimuksesta vastaava varajohtaja. "Siksi hyökkääjät todennäköisesti yhdistävät sen muihin hyökkäyksiin kattavan hyökkäyksen aikaansaamiseksi. Haavoittuvuus vaikuttaa kaikkiin Microsoft Outlookin versioihin vuodesta 2013 eteenpäin", hän huomautti Dark Readingille lähettämässään sähköpostissa.

Kev Breen, Immersive Labsin kyberuhkien tutkimuksen johtaja, arvioi toisen turvallisuuden ohituksen nollapäivän - CVE-2023-32049 — toinen bugi, jota uhkatoimijat todennäköisesti käyttävät osana laajempaa hyökkäysketjua.

Kaksi muuta nollapäivää Microsoftin uusimmassa korjaustiedostosarjassa mahdollistavat oikeuksien eskaloinnin. Googlen Threat Analysis Groupin tutkijat löysivät yhden niistä. Vika, jäljitetty CVE-2023-36874, on Windows Error Reporting (WER) -palvelun käyttöoikeuksien korotusongelma, joka antaa hyökkääjille tavan hankkia järjestelmänvalvojan oikeudet haavoittuviin järjestelmiin. Hyökkääjä tarvitsee paikallisen pääsyn vahingoittuneeseen järjestelmään voidakseen hyödyntää virhettä, minkä hän voi saada muiden hyväksikäyttöjen tai tunnistetietojen väärinkäytön kautta.

"WER-palvelu on Microsoft Windows -käyttöjärjestelmien ominaisuus, joka kerää ja lähettää automaattisesti virheraportteja Microsoftille, kun tietyt ohjelmistot kaatuvat tai kohtaavat muun tyyppisiä virheitä", sanoi Tom Bowyer, Automoxin tietoturvatutkija. "Tätä nollapäivän haavoittuvuutta hyödynnetään aktiivisesti, joten jos organisaatiosi käyttää WER:ää, suosittelemme korjausta 24 tunnin sisällä", hän sanoi.

Toinen heinäkuun tietoturvapäivityksen käyttöoikeusvirhe, jota hyökkääjät käyttävät jo aktiivisesti, on CVE-2023-32046 Microsoftin Windows MSHTM -alustalla, eli "Trident"-selaimen renderöintimoottorilla. Kuten monet muutkin bugit, tämäkin vaatii jonkin verran käyttäjän vuorovaikutusta. Sähköpostihyökkäysskenaariossa bugin hyödyntämiseksi hyökkääjän on lähetettävä kohdekäyttäjälle erityisesti muotoiltu tiedosto ja pyydettävä käyttäjää avaamaan se. Web-pohjaisessa hyökkäyksessä hyökkääjän tulee isännöidä haitallinen verkkosivusto - tai käyttää vaarantunutta - isännöidäkseen erityisesti muodostettua tiedostoa ja sitten saada uhri avaamaan se, Microsoft sanoi.

RCE:t Windowsin reitityksessä, etäkäyttöpalvelussa

Tietoturvatutkijat viittasivat kolmeen RCE-haavoittuvuuteen Windowsin reititys- ja etäkäyttöpalvelussa (RRAS) (CVE-2023-35365, CVE-2023-35366ja CVE-2023-35367) ansaitsevat ensisijaisen huomion. Microsoft on arvioinut kaikki kolme haavoittuvuutta kriittisiksi, ja kaikkien kolmen CVSS-pistemäärä on 9.8. Palvelu ei ole oletusarvoisesti saatavilla Windows Serverissä ja mahdollistaa periaatteessa käyttöjärjestelmää käyttävien tietokoneiden toiminnan reitittiminä, VPN-palvelimina ja puhelinverkkopalvelimina, Automoxin Bowyer sanoi. "Onnistunut hyökkääjä voi muokata verkkomäärityksiä, varastaa tietoja, siirtyä muihin kriittisempiin/tärkeämpiin järjestelmiin tai luoda lisätilejä jatkuvaa käyttöä varten."

SharePoint Server -virheet

Microsoftin mahtava heinäkuun päivitys sisälsi korjauksia neljään RCE-haavoittuvuuteen SharePoint-palvelimessa, josta on tullut suosittu hyökkääjäkohde viime aikoina. Microsoft arvioi kaksi virheistä "tärkeiksi" (CVE-2023-33134 ja CVE-2023-33159) ja kaksi muuta "kriittisinä" (CVE-2023-33157 ja CVE-2023-33160). "Kaikki ne edellyttävät, että hyökkääjä on todennettu tai käyttäjä suorittaa toiminnon, joka onneksi vähentää tietomurron riskiä", sanoi Yoav Iellin, Silverfortin vanhempi tutkija. "Vaikka SharePoint voi sisältää arkaluontoisia tietoja ja se on yleensä näkyvissä organisaation ulkopuolelta, paikallisia tai hybridiversioita käyttävien tulee päivittää."

Organisaatioiden, joiden on noudatettava säännöksiä, kuten FEDRAMP, PCI, HIPAA, SOC2 ja vastaavia säännöksiä, tulee kiinnittää huomiota CVE-2023-35332: Windows Remote Desktop Protocol Security Feature Bypass -virhe, sanoi Dor Dali, Cyolon tutkimuspäällikkö. Haavoittuvuus liittyy vanhentuneiden ja vanhentuneiden protokollien käyttöön, mukaan lukien Datagram Transport Layer Securityn (DTLS) versio 1.0, joka muodostaa merkittävän turvallisuus- ja vaatimustenmukaisuusriskin organisaatioille, hän sanoi. Hän sanoi, että tilanteissa, joissa organisaatio ei voi päivittää välittömästi, sen tulisi poistaa UDP-tuki RDP-yhdyskäytävästä.

Lisäksi Microsoft julkaisi neuvoa-antavan tiedon tutkiessaan viimeaikaisia ​​raportteja uhkatekijöistä, jotka käyttävät Microsoftin sertifioimia ohjaimia"s Windows Hardware Developer Program (MWHDP) hyväksikäytön jälkeisessä toiminnassa.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
• Lähde: https://www.darkreading.com/application-security/microsoft-discloses–zero-days-in-voluminous-july-security-update