माइक्रोसॉफ्ट ने विशाल जुलाई सुरक्षा अद्यतन में 5 शून्य-दिनों का खुलासा किया

माइक्रोसॉफ्ट ने विशाल जुलाई सुरक्षा अद्यतन में 5 शून्य-दिनों का खुलासा किया

समय टिकट: 11 जुलाई, 2023 6:16 अपराह्न
माइक्रोसॉफ्ट ने विशाल जुलाई सुरक्षा अपडेट प्लेटोब्लॉकचेन डेटा इंटेलिजेंस में 5 शून्य-दिनों का खुलासा किया। लंबवत खोज. ऐ.

माइक्रोसॉफ्ट के जुलाई सुरक्षा अद्यतन इसमें 130 अद्वितीय कमजोरियों के लिए समाधान शामिल हैं, जिनमें से पांच हमलावर पहले से ही जंगल में सक्रिय रूप से शोषण कर रहे हैं।

कंपनी ने नौ खामियों को गंभीर गंभीरता का और उनमें से 121 को मध्यम या महत्वपूर्ण गंभीरता का दर्जा दिया है। कमजोरियाँ विंडोज़, ऑफिस, .नेट, एज़्योर एक्टिव डायरेक्ट्री, प्रिंटर ड्राइवर्स, डीएमएस सर्वर और रिमोट डेस्कटॉप सहित माइक्रोसॉफ्ट उत्पादों की एक विस्तृत श्रृंखला को प्रभावित करती हैं। अपडेट में रिमोट कोड निष्पादन (आरसीई) की खामियां, सुरक्षा बाईपास और विशेषाधिकार वृद्धि के मुद्दे, सूचना प्रकटीकरण बग और सेवा कमजोरियों से इनकार का सामान्य मिश्रण शामिल था।

“हालाँकि, सुधारों की यह मात्रा पिछले कुछ वर्षों में देखी गई सबसे अधिक है'ट्रेंड माइक्रो के जीरो डे इनिशिएटिव (जेडडीआई) के सुरक्षा शोधकर्ता डस्टिन चिल्ड्स ने एक ब्लॉग पोस्ट में कहा, "ब्लैक हैट यूएसए सम्मेलन से ठीक पहले माइक्रोसॉफ्ट को बड़ी संख्या में पैच भेजते देखना असामान्य नहीं है।"

सुरक्षा शोधकर्ताओं के अनुसार, पैच प्राथमिकता के दृष्टिकोण से, माइक्रोसॉफ्ट ने इस सप्ताह जिन पांच शून्य-दिनों का खुलासा किया है, उन पर तत्काल ध्यान देने की आवश्यकता है।

इनमें सबसे गंभीर है CVE-2023-36884, Office और Windows HTML में एक रिमोट कोड निष्पादन (RCE) बग, जिसके लिए Microsoft के पास इस महीने के अपडेट में कोई पैच नहीं था। कंपनी ने उत्तरी अमेरिका और यूरोप में सरकार और रक्षा संगठनों को लक्षित करने वाले फ़िशिंग अभियान में दोष का फायदा उठाने के लिए एक खतरनाक समूह, स्टॉर्म-0978 की पहचान की है, जिस पर वह नज़र रख रही है।

अभियान में धमकी देने वाला अभिनेता यूक्रेनी विश्व कांग्रेस से संबंधित विषयों के साथ विंडोज़ दस्तावेज़ों के माध्यम से एक बैकडोर, जिसे रोमकॉम कहा जाता है, वितरित करना शामिल है। “तूफान-0978'के लक्षित अभियानों ने मुख्य रूप से यूक्रेन में सरकारी और सैन्य संगठनों को प्रभावित किया है, साथ ही यूरोप और उत्तरी अमेरिका के संगठनों को भी प्रभावित किया है जो संभावित रूप से यूक्रेनी मामलों में शामिल हैं।'' माइक्रोसॉफ्ट ने एक ब्लॉग में कहा वह पोस्ट जो जुलाई सुरक्षा अद्यतन के साथ थी। "पहचाने गए रैंसमवेयर हमलों ने दूरसंचार और वित्त उद्योगों सहित अन्य को प्रभावित किया है।"

ZDI के एक अन्य शोधकर्ता डस्टिन चिल्ड्स ने संगठनों को CVE-2023-36884 को "गंभीर" सुरक्षा समस्या के रूप में मानने की चेतावनी दी, भले ही Microsoft ने स्वयं इसे अपेक्षाकृत कम गंभीर, "महत्वपूर्ण" बग के रूप में मूल्यांकन किया है। “माइक्रोसॉफ्ट ने इस सीवीई को जारी करने की अजीब कार्रवाई की है बिना पैच। वह'यह अभी भी आना बाकी है,'' चिल्ड्स ने एक ब्लॉग पोस्ट में लिखा। “स्पष्ट रूप से, वहाँ'इस कारनामे में जितना कहा जा रहा है उससे कहीं अधिक है।”

जिन पांच कमजोरियों का सक्रिय रूप से शोषण किया जा रहा है उनमें से दो सुरक्षा बाईपास खामियां हैं। एक माइक्रोसॉफ्ट आउटलुक को प्रभावित करता है (CVE-2023-35311) और दूसरे में विंडोज़ स्मार्टस्क्रीन शामिल है (CVE-2023-32049). दोनों कमजोरियों के लिए उपयोगकर्ता इंटरेक्शन की आवश्यकता होती है, जिसका अर्थ है कि एक हमलावर केवल उपयोगकर्ता को दुर्भावनापूर्ण यूआरएल पर क्लिक करने के लिए मनाकर ही उनका फायदा उठाने में सक्षम होगा। CVE-2023-32049 के साथ, एक हमलावर ओपन फ़ाइल - सुरक्षा चेतावनी प्रॉम्प्ट को बायपास करने में सक्षम होगा, जबकि CVE-2023-35311 हमलावरों को Microsoft Outlook सुरक्षा नोटिस प्रॉम्प्ट द्वारा अपने हमले को छिपाने का एक तरीका देता है।

एक्शन2023 में भेद्यता और खतरा अनुसंधान के उपाध्यक्ष माइक वाल्टर्स ने कहा, "यह ध्यान रखना महत्वपूर्ण है कि [सीवीई-35311-1] विशेष रूप से माइक्रोसॉफ्ट आउटलुक सुरक्षा सुविधाओं को बायपास करने की अनुमति देता है और रिमोट कोड निष्पादन या विशेषाधिकार वृद्धि को सक्षम नहीं करता है।" “इसलिए, हमलावरों द्वारा व्यापक हमले के लिए इसे अन्य कारनामों के साथ जोड़ने की संभावना है। यह भेद्यता 2013 के बाद से माइक्रोसॉफ्ट आउटलुक के सभी संस्करणों को प्रभावित करती है," उन्होंने डार्क रीडिंग को एक ईमेल में उल्लेख किया है।

इमर्सिव लैब्स में साइबर खतरा अनुसंधान के निदेशक केव ब्रीन ने अन्य सुरक्षा बाईपास शून्य-दिन का आकलन किया - सीवीई-2023-32049 - एक और बग के रूप में जिसे धमकी देने वाले अभिनेता व्यापक हमले श्रृंखला के हिस्से के रूप में उपयोग करेंगे।

माइक्रोसॉफ्ट के नवीनतम पैच सेट में दो अन्य शून्य-दिन विशेषाधिकार वृद्धि को सक्षम करते हैं। Google के ख़तरा विश्लेषण समूह के शोधकर्ताओं ने उनमें से एक की खोज की। दोष, के रूप में ट्रैक किया गया CVE-2023-36874, विंडोज़ त्रुटि रिपोर्टिंग (डब्ल्यूईआर) सेवा में विशेषाधिकार का मुद्दा है जो हमलावरों को कमजोर सिस्टम पर प्रशासनिक अधिकार हासिल करने का एक तरीका देता है। किसी हमलावर को दोष का फायदा उठाने के लिए प्रभावित सिस्टम तक स्थानीय पहुंच की आवश्यकता होगी, जिसे वे अन्य कारनामों या क्रेडेंशियल दुरुपयोग के माध्यम से प्राप्त कर सकते हैं।

ऑटोमॉक्स के एक सुरक्षा शोधकर्ता टॉम बॉयर ने कहा, "डब्ल्यूईआर सेवा माइक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम में एक सुविधा है जो कुछ सॉफ़्टवेयर क्रैश होने या अन्य प्रकार की त्रुटियों का सामना करने पर स्वचालित रूप से त्रुटि रिपोर्ट एकत्र करती है और माइक्रोसॉफ्ट को भेजती है।" उन्होंने कहा, "इस शून्य-दिन की भेद्यता का सक्रिय रूप से शोषण किया जा रहा है, इसलिए यदि आपके संगठन द्वारा WER का उपयोग किया जाता है, तो हम 24 घंटों के भीतर पैचिंग की सलाह देते हैं।"

जुलाई सुरक्षा अद्यतन में विशेषाधिकार बग का अन्य उन्नयन जिसका हमलावर पहले से ही सक्रिय रूप से शोषण कर रहे हैं CVE-2023-32046 माइक्रोसॉफ्ट के विंडोज़ एमएसएचटीएम प्लेटफ़ॉर्म में, जिसे "ट्राइडेंट" ब्राउज़र रेंडरिंग इंजन भी कहा जाता है। कई अन्य बगों की तरह, इसमें भी कुछ स्तर की उपयोगकर्ता सहभागिता की आवश्यकता होती है। बग का फायदा उठाने के लिए ईमेल हमले के परिदृश्य में, एक हमलावर को लक्षित उपयोगकर्ता को एक विशेष रूप से तैयार की गई फ़ाइल भेजने और उपयोगकर्ता से इसे खोलने की आवश्यकता होगी। माइक्रोसॉफ्ट ने कहा, वेब-आधारित हमले में, एक हमलावर को एक दुर्भावनापूर्ण वेबसाइट होस्ट करने की आवश्यकता होगी - या एक विशेष रूप से तैयार की गई फ़ाइल को होस्ट करने के लिए एक समझौता किए गए वेबसाइट का उपयोग करना होगा और फिर पीड़ित को इसे खोलने के लिए मनाना होगा।

विंडोज़ रूटिंग, रिमोट एक्सेस सर्विस में आरसीई

सुरक्षा शोधकर्ताओं ने विंडोज़ रूटिंग और रिमोट एक्सेस सर्विस (आरआरएएस) में तीन आरसीई कमजोरियों की ओर इशारा किया (CVE-2023-35365, CVE-2023-35366, तथा CVE-2023-35367) सभी की तरह प्राथमिकता से ध्यान देने योग्य। माइक्रोसॉफ्ट ने तीनों कमजोरियों को गंभीर माना है और तीनों का सीवीएसएस स्कोर 9.8 है। ऑटोमॉक्स के बॉयर ने कहा, यह सेवा विंडोज सर्वर पर डिफ़ॉल्ट रूप से उपलब्ध नहीं है और मूल रूप से ओएस चलाने वाले कंप्यूटरों को राउटर, वीपीएन सर्वर और डायल-अप सर्वर के रूप में कार्य करने में सक्षम बनाती है। “एक सफल हमलावर नेटवर्क कॉन्फ़िगरेशन को संशोधित कर सकता है, डेटा चुरा सकता है, अन्य अधिक महत्वपूर्ण/महत्वपूर्ण सिस्टम पर जा सकता है, या डिवाइस तक लगातार पहुंच के लिए अतिरिक्त खाते बना सकता है।"

SharePoint सर्वर खामियाँ

माइक्रोसॉफ्ट के विशाल जुलाई अपडेट में SharePoint सर्वर में चार RCE कमजोरियों के लिए समाधान शामिल थे, जो हाल ही में एक लोकप्रिय हमलावर लक्ष्य बन गया है। माइक्रोसॉफ्ट ने दो बगों को "महत्वपूर्ण" दर्जा दिया है (CVE-2023-33134 और CVE-2023-33159) और अन्य दो को "गंभीर" बताया गया है (CVE-2023-33157 और CVE-2023-33160). सिल्वरफोर्ट के वरिष्ठ शोधकर्ता योव इलिन ने कहा, "उन सभी को हमलावर को प्रमाणित करने या उपयोगकर्ता को एक कार्रवाई करने की आवश्यकता होती है, जो सौभाग्य से, उल्लंघन के जोखिम को कम करता है।" "फिर भी, चूँकि SharePoint में संवेदनशील डेटा हो सकता है और आमतौर पर संगठन के बाहर से उजागर होता है, जो लोग ऑन-प्रिमाइसेस या हाइब्रिड संस्करणों का उपयोग करते हैं उन्हें अपडेट करना चाहिए।"

जिन संगठनों को FEDRAMP, PCI, HIPAA, SOC2 और इसी तरह के नियमों का पालन करना होता है, उन्हें इस पर ध्यान देना चाहिए सीवीई-2023-35332: साइओलो के शोध प्रमुख डोर डाली ने कहा, विंडोज़ रिमोट डेस्कटॉप प्रोटोकॉल सुरक्षा फ़ीचर बायपास दोष। उन्होंने कहा कि भेद्यता पुराने और अप्रचलित प्रोटोकॉल के उपयोग से संबंधित है, जिसमें डेटाग्राम ट्रांसपोर्ट लेयर सिक्योरिटी (डीटीएलएस) संस्करण 1.0 भी शामिल है, जो संगठनों के लिए पर्याप्त सुरक्षा और अनुपालन जोखिम प्रस्तुत करता है। उन्होंने कहा, ऐसी स्थितियों में जहां कोई संगठन तुरंत अपडेट नहीं कर सकता, उन्हें आरडीपी गेटवे में यूडीपी समर्थन को अक्षम कर देना चाहिए।

इसके अलावा, माइक्रोसॉफ्ट एक सलाह प्रकाशित की माइक्रोसॉफ्ट के तहत प्रमाणित ड्राइवरों का उपयोग करने वाले खतरे वाले अभिनेताओं के बारे में हालिया रिपोर्टों की अपनी जांच पर'शोषण के बाद की गतिविधि में विंडोज हार्डवेयर डेवलपर प्रोग्राम (MWHDP)।

समय टिकट:

से अधिक डार्क रीडिंग