Tämän vuoden helmikuun tarkan neljän viikon pituuden ansiosta viime kuun Firefox- ja Microsoft-päivitysten yhteensattuma on tapahtunut jälleen kerran.
Viime kuussa Microsoft käsitteli kolme nollapäivää, jolla tarkoitamme tietoturva-aukkoja, jotka kyberrikolliset löysivät ensin, ja keksivät, kuinka väärinkäyttää tosielämän hyökkäyksiä ennen kuin korjaustiedostoja oli saatavilla.
(Nimi nollapäivän, Tai vain 0 päivän, on muistutus siitä, että jopa edistyksellisimmät ja proaktiivisimmat laastarit nauttivat täsmälleen nollasta päivästä, jonka aikana olisimme voineet olla huijareiden edellä.)
Maaliskuussa 2023 on kaksi nollapäivän korjausta, yksi näkymät, ja toinen sisään Windows SmartScreen.
Kiehtovaa, kun kyseessä on luonnosta löydetty virhe, vaikka Microsoft raportoi siitä melko tylysti. Hyödyntäminen havaittu, Outlookin puute hyvitetään yhdessä CERT-UA (Ukrainan Computer Emergency Response Team), Microsoft Incident Response ja Microsoft Threat Intelligence.
Voit tehdä siitä mitä haluat.
Outlook EoP
Tämä bugi, dubattu CVE-2023-23397: Microsoft Outlook Elevation of Privilege -haavoittuvuus (EoP), on on kuvattu seuraavasti:
Tätä haavoittuvuutta onnistuneesti hyödyntänyt hyökkääjä voi käyttää käyttäjän Net-NTLMv2-tiivistettä, jota voidaan käyttää perustana NTLM Relay -hyökkäykselle toista palvelua vastaan käyttäjän todennuksen tekemiseksi. […]
Hyökkääjä voi hyödyntää tätä haavoittuvuutta lähettämällä erityisesti muodostetun sähköpostin, joka laukeaa automaattisesti, kun Outlook-asiakasohjelma hakee ja käsittelee sen. Tämä voi johtaa hyväksikäyttöön ENNEN sähköpostin katselua esikatseluruudussa. […]
Ulkoiset hyökkääjät voivat lähettää erityisesti muotoiltuja sähköposteja, jotka muodostavat yhteyden uhrilta hyökkääjien hallinnassa olevaan ulkoiseen UNC-sijaintiin. Tämä vuotaa uhrin Net-NTLMv2-tiivisteen hyökkääjälle, joka voi sitten välittää sen toiseen palveluun ja tunnistautua uhrina.
Selittääkseen (sikäli kuin voimme arvata, koska meillä ei ole tarkkoja tietoja hyökkäyksestä).
Net-NTLMv2-todennus, jota kutsumme vain lyhyesti NTLM2:ksi, toimii hyvin karkeasti näin:
- Sijainti, johon muodostat yhteyden lähettää yli 8 satunnaista tavua tunnetaan nimellä haaste.
- Sinun tietokoneesi luo omat 8 satunnaista tavuaan.
- Voit laskea kahdesta haastemerkkijonosta HMAC-MD5-avaimella varustettu hash käyttämällä avaimena olemassa olevaa turvallisesti tallennettua salasanasi tiivistettä.
- Voit lähetä avaimella varustettu hash ja 8-tavuinen haasteesi.
- Toisessa päässä on nyt sekä 8-tavuiset haasteet että kertaluonteinen vastaus, joten se voi laske avainnettu hash uudelleen ja vahvista vastauksesi.
Itse asiassa siinä on paljon muutakin, koska itse asiassa on kaksi avaimella varustettua tiivistettä, joista toinen sekoittaa kaksi 8-tavuista satunnaista haastenumeroa ja toinen lisää tietoja, mukaan lukien käyttäjänimesi, verkkotunnuksesi ja nykyinen aika.
Mutta perusperiaate on sama.
Varsinaista salasanaasi tai salasanasi tallennettua tiivistettä (esimerkiksi Active Directorysta) ei koskaan lähetetä, joten se ei voi vuotaa kuljetuksen aikana.
Lisäksi molemmat osapuolet saavat joka kerta ruiskuttaa 8 tavua omaa satunnaisuuttaan, mikä estää kumpaakaan osapuolta käyttämästä lujasti uudelleen vanhaa haastemerkkijonoa siinä toivossa, että päätyisi samaan avaimeen kuin edellisessä istunnossa.
(Ajan kääriminen ja muut sisäänkirjautumiskohtaiset tiedot lisäävät lisäsuojaa ns uusintahyökkäykset, mutta jätämme nämä yksityiskohdat huomiotta.)
Istuu keskellä
Kuten voitte kuvitella, koska hyökkääjä voi huijata sinut yrittämään "kirjautua sisään" väärennetylle palvelimelleen (joko kun luet ansaan jääneen sähköpostin tai pahempaa, kun Outlook alkaa käsitellä sitä puolestasi, ennen kuin saat edes välähdyksen siitä, kuinka valheelta se saattaa näyttää), päädyt vuotamaan yhden, kelvollisen NTLM2-vasteen.
Tämän vastauksen tarkoituksena on todistaa toiselle puolelle, ei vain sitä, että todella tiedät sen tilin salasanan, jonka väität olevasi sinun, vaan myös (johtuen haastedatasta), että et vain käytä uudelleen aikaisempaa vastausta. .
Joten, kuten Microsoft varoittaa, hyökkääjä, joka osaa ajoittaa asiat oikein, saattaa pystyä aloittamaan autentikoinnin aidolle palvelimelle kuten sinä, tietämättä salasanaasi tai sen hash-arvoa saadakseen 8-tavuisen aloitushaasteen oikealta palvelimelta...
…ja välitä sitten haaste takaisin sinulle, kun sinut huijataan yrittämään kirjautua heidän valepalvelimelleen.
Jos lasket sitten avaimella varustetun hajautusarvon ja lähetät sen takaisin "todisteena, että tiedän oman salasanani juuri nyt", huijarit saattavat pystyä välittämään oikein lasketun vastauksen takaisin aidolle palvelimelle, johon he yrittävät tunkeutua. huijataksesi palvelimen hyväksymään heidät ikään kuin he olisivat sinä.
Lyhyesti sanottuna, haluat ehdottomasti korjata tätä vastaan, koska vaikka hyökkäys vaatii paljon yrityksiä, aikaa ja onnea, eikä se hirveän todennäköisesti toimisi, tiedämme jo, että kyseessä on "Hyödyntäminen havaittu".
Toisin sanoen hyökkäys voidaan saada toimimaan, ja se on onnistunut ainakin kerran pahaa aavistamatonta uhria vastaan, joka ei ole tehnyt mitään vaarallista tai väärää.
SmartScreen-suojauksen ohitus
Toinen nollapäivä on CVE-2023-24880, ja tämä aika pitkälti kuvailee itse: Windows SmartScreen -suojausominaisuuden ohitushaavoittuvuus.
Yksinkertaisesti sanottuna Windows yleensä merkitsee Internetin kautta saapuvat tiedostot lipulla, joka sanoo: "Tämä tiedosto tuli ulkopuolelta; Käsittele sitä lasten käsineillä äläkä luota siihen liikaa."
Tämä mistä se tuli -lippu tunnettiin aiemmin nimellä tiedosto Internet Zone tunniste, ja se muistuttaa Windowsia, kuinka paljon (tai kuinka vähän) sen tulee luottaa tiedoston sisältöön, kun sitä myöhemmin käytetään.
Nykyään Alueen tunnus (mitä se on arvokasta, tunnus 3 tarkoittaa "Internetistä") viitataan yleensä dramaattisemmalla ja mieleenpainuvammalla nimellä Mark Of The Webtai MotW lyhyesti.
Teknisesti tämä vyöhyketunnus on tallennettu tiedoston kanssa ns Vaihtoehtoinen tietovirtatai ADS, mutta tiedostoissa voi olla ADS-tietoja vain, jos ne on tallennettu NTFS-muotoisille Wiindows-levyille. Jos tallennat tiedoston esimerkiksi FAT-taltiolle tai kopioit sen muulle kuin NTFS-asemalle, vyöhyketunnus katoaa, joten tämä suojatarra on jonkin verran rajoitettu.
Tämä virhe tarkoittaa, että joihinkin ulkopuolelta tuleviin tiedostoihin – esimerkiksi latauksiin tai sähköpostin liitteisiin – ei saada oikeaa MotW-tunnistetta, joten ne ohittavat Microsoftin viralliset turvatarkastukset.
Microsoftin julkinen tiedote ei kerro tarkalleen, minkä tyyppisiä tiedostoja (kuvia? Office-dokumentteja? PDF-tiedostoja? kaikkia?) voidaan soluttautua verkkoosi tällä tavalla, mutta varoittaa hyvin laajasti, että "turvaominaisuudet, kuten Microsoft Officen suojattu näkymä" voidaan ohittaa tällä temppulla.
Arvelemme tämän tarkoittavan, että haitalliset tiedostot, jotka tavallisesti tehdään vaarattomaksi, esimerkiksi estämällä sisäänrakennettu makrokoodi, saattavat herätä eloon odottamatta, kun niitä tarkastellaan tai avataan.
Jälleen kerran päivitys tuo sinut takaisin hyökkääjien tasolle, joten Älä viivytä/korjaa sitä tänään.
Mitä tehdä?
- Korjaa niin pian kuin voit, kuten juuri sanoimme edellä.
- Lue koko SophosLabs-analyysi näistä virheistä ja yli 70 muuta korjaustiedostoa, jos et vieläkään ole vakuuttunut.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://nakedsecurity.sophos.com/2023/03/15/microsoft-fixes-two-0-days-on-patch-tuesday-update-now/
- :On
- $ YLÖS
- 1
- 2023
- 70
- 8
- a
- pystyy
- Meistä
- edellä
- absoluuttinen
- hyväksikäyttö
- pääsy
- Tili
- aktiivinen
- todella
- lisä-
- Lisää
- mainokset
- vastaan
- eteenpäin
- Kaikki
- jo
- keskuudessa
- ja
- Toinen
- vastaus
- OVAT
- AS
- At
- hyökkäys
- Hyökkäykset
- todentaa
- Authentication
- kirjoittaja
- auto
- automaattisesti
- saatavissa
- takaisin
- background-image
- perusta
- BE
- koska
- ennen
- Bitti
- reunus
- Molemmin puolin
- pohja
- tuoda
- laajasti
- Vika
- Bugs
- sisäänrakennettu
- by
- soittaa
- CAN
- tapaus
- Aiheuttaa
- keskus
- haaste
- haasteet
- Tarkastukset
- vaatia
- asiakas
- koodi
- yhteensattuma
- väri
- Tulla
- Laskea
- tietokone
- Kytkeminen
- liitäntä
- pitoisuus
- ohjaus
- voisi
- kattaa
- Nykyinen
- verkkorikollisille
- tiedot
- päivää
- ehdottomasti
- yksityiskohdat
- DID
- löysi
- näyttö
- asiakirjat
- ei
- verkkotunnuksen
- Domain Name
- Dont
- lataukset
- dramaattisesti
- ajaa
- dubattuna
- aikana
- myöskään
- sähköpostit
- hätä
- Jopa
- EVER
- Joka
- täsmälleen
- esimerkki
- olemassa
- Selittää
- Käyttää hyväkseen
- hyväksikäyttö
- hyödynnetään
- ulkoinen
- lisää
- oikeudenmukainen
- väärennös
- Rasva
- Ominaisuus
- Ominaisuudet
- helmikuu
- kuviollinen
- filee
- Asiakirjat
- Firefox
- Etunimi
- virhe
- seuraa
- varten
- löytyi
- alkaen
- koko
- saada
- tietty
- vilaus
- Go
- tapahtui
- hasis
- Olla
- ottaa
- korkeus
- tätä
- Holes
- toivoa
- liihottaa
- Miten
- Miten
- HTTPS
- i
- ID
- tunniste
- kuvien
- in
- tapaus
- tapahtuman vastaus
- Mukaan lukien
- Älykkyys
- Internet
- IT
- SEN
- itse
- avain
- Lapsi
- Tietää
- tietäen
- tunnettu
- Merkki
- Sukunimi
- johtaa
- vuotaa
- Pituus
- elämä
- pitää
- Todennäköisesti
- rajallinen
- vähän
- sijainti
- katso
- onni
- Makro
- tehty
- tehdä
- maaliskuu
- Marginaali
- max-width
- välineet
- Microsoft
- ehkä
- sekoitettu
- Sekoitus
- hetki
- Kuukausi
- lisää
- eniten
- MOTW
- nimi
- verkko
- normaali
- numerot
- of
- Office
- virallinen
- Vanha
- on
- ONE
- avattu
- Muut
- näkymät
- ulkopuolella
- oma
- lasi
- puolue
- Salasana
- läikkä
- patch tiistai
- Merkit
- Paavali
- Platon
- Platonin tietotieto
- PlatonData
- sijainti
- Viestejä
- tarkka
- tarkasti
- aika
- preview
- edellinen
- periaate
- Ennakoiva
- Käsitelty
- käsittely
- progressiivinen
- suojattu
- suojaus
- suojaava
- todistaa
- laittaa
- satunnainen
- satunnaisuuden
- pikemminkin
- Lue
- todellinen
- tarkoitettuja
- vastata
- raportoitu
- Vaatii
- vastaus
- riskialtis
- karkeasti
- Said
- sama
- Säästä
- sanoo
- Toinen
- turvallisuus
- lähettäminen
- palvelu
- Istunto
- Lyhyt
- shouldnt
- Sides
- single
- So
- vankka
- jonkin verran
- jokseenkin
- erityisesti
- kevät
- Alkaa
- Aloita
- alkaa
- Yhä
- tallennettu
- Myöhemmin
- Onnistuneesti
- niin
- SVG
- joukkue-
- että
- -
- heidän
- Niitä
- Nämä
- asiat
- Tämä vuosi
- uhkaus
- aika
- että
- liian
- ylin
- kauttakulku
- siirtyminen
- läpinäkyvä
- kohdella
- Luottamus
- tiistai
- tyypit
- ukrainalainen
- taustalla oleva
- Päivitykset
- Päivitykset
- URL
- us
- käyttäjä
- yleensä
- todentaa
- kautta
- Uhri
- Näytä
- tilavuus
- alttius
- varoittaa
- Tapa..
- Mitä
- joka
- KUKA
- leveys
- Villi
- tulee
- ikkunat
- with
- ilman
- sanoja
- Referenssit
- toimii
- arvoinen
- olisi
- Väärä
- vuosi
- Voit
- Sinun
- zephyrnet
- nolla-