A Patch Tuesday 4 kritikus RCE-hibát és egy csomó Office-hibát javít ki

Ebben a hónapban nincs nulla nap, ha figyelmen kívül hagyja a befoltozott Edge RCE lyukat a múlt héten (Egyébként győződjön meg róla, hogy megvan a frissítés):

Az e havi Microsoft Patch Kedd javításainak teljes listájáért tekintse meg testvéroldalunkat, a Sophos News-t, ahol a SophosLabs elemzői összegyűjtötték. teljes listák az ebben a hónapban javított számos Microsoft CVE közül:

Pont úgy, ahogy neked tetszik

Kutatóink hasznosan létrehozták több lista, kényelmesen válogatva a hiba típusa és súlyossága (így meg tudja különböztetni a távoli kódvégrehajtásokat a jogosultságok szintjétől); A Microsoft sejtései szerint a annak a valószínűsége, hogy a szélhámosok kitalálják a kizsákmányolást minden egyes hibára (ha így szeretné priorizálni erőfeszítéseit), és a Terméktípus (ha szeretné megosztani a javítási erőfeszítéseit a szervercsapat, az Office-szakértők és a laptoptámogató csapat között).

Ha kíváncsi vagy, voltak 26 Remote Code Execution (RCE) javítás, köztük négy „kritikus”, bár úgy tűnik, hogy ezek közül három kapcsolódó hiba, amelyet egyetlen Windows-összetevőben találtak és javítottak ki.

Általában az RCE javítások okozzák a legnagyobb aggodalmat, mivel olyan hibákkal foglalkoznak, amelyeket legalábbis elméletileg kihasználhatnak olyan támadók, akik még nem vették meg a lábukat a hálózaton, ami azt jelenti, hogy a bűnözők betörésének és behatolásának lehetséges módjai. elsősorban.

Voltak 17 Jogosultság-emelési (EoP) javítás, amelyek közül a Microsoft csak az egyiket tekinti „kritikusnak” a SharePoint Serverben, amely az az eszköz, amelyre sok vállalat támaszkodik nagy mennyiségű adat biztonságos cseréjére a hálózatokon belül.

Más szavakkal, a SharePointhoz való jogosulatlan hozzáférés a támadóknak szabad belépőt adhat, hogy közvetlenül hozzáférhessen a saját, vagy akár az ügyfelei trófeaadataihoz, ahogy az a közelmúltban számos, a versengő fájlmegosztó szolgáltatást használó vállalattal történt. Mozgatni.

Amint azt bizonyára Ön is tudja, az EoP-hibákkal az a probléma, hogy gyakran egy kívülről érkező támadás második lépéseként használják őket kiberbűnözők arra, hogy a betörés után a lehető leghamarabb növeljék hozzáférési jogosultságaikat.

Ez olyan biztonsági megsértést eredményezhet, amely viszonylag korlátozott kezdeti expozícióból indult ki (például csak egy felhasználó laptopján lévő helyi fájlokhoz való csaló hozzáférés)…

…egy sokkal veszélyesebb incidensbe (például csaló hozzáférés mindenki más laptopjához a hálózaton keresztül, és talán az összes vállalati szerverhez is, például ügyféladatbázisokhoz, fizetési rendszerekhez, biztonsági másolatokhoz stb.).

Figyelemre méltó lyukak

A SophosLabs szakértői a CVE-k közül hatot „figyelemre méltónak” azonosítottak.

Irány a mi oldalunk hosszú formátumú jelentés további információkért a hat hibáról.

Egyelőre csak ötöt sorolunk fel közülük:

• CVE-2023-29357. A Microsoft SharePoint Server Elevage of Privilege biztonsági rése. Ez a hiba lehetőséget nyújthat egy csalónak, akinek hozzáférése van az Ön hálózatához, de nem jelentkezik be a SharePoint rendszerébe, hogy ellopja egy jogos felhasználó hozzáférési hitelesítő adatait, és így elkerülje a felhasználónév, jelszó vagy jelszó megadását. 2FA saját kódjuk.
• CVE-2023-29363, -32014 és -32015. Windows Pragmatic General Multicast (PGM) távoli kódvégrehajtási biztonsági rése. Ha a Windows üzenetsor-szolgáltatást használja a hálózatán, ezek a hibák lehetővé tehetik a támadók számára, hogy a hálózaton lévő eszközt rávegyék, hogy az általuk választott kódot futtassák.
• CVE-2023-33146. A Microsoft Office távoli kódfuttatási biztonsági rése. Úgy tűnik, hogy hibát okozhatnak a csapdába esett SketchUp fájlok (soha nem is hallottunk a SketchUp alkalmazásról, nemhogy használtuk, de úgy tűnik, ez egy népszerű 3D-s grafikus program), amelyeket Office-fájlok széles skálájába ágyaznak be, beleértve a Word-t is. , Excel, PowerPoint és Outlook.

Érdekes módon a CVE-2023-33146 javítás tünete a szélesebb körű megoldatlan biztonsági problémák az Office SketchUp-objektumok kezelésének támogatásában, feltehetően az újabb összetett fájlformátumok Office-dokumentumokba történő biztonságos elemzésének, feldolgozásának és beágyazásának nehézségei miatt.

Valóban, 2023-06-01-én a Microsoft hivatalosan bejelentették hogy további értesítésig kikapcsolta a SketchUp beágyazórendszert (kiemelésünk):

A SketchUp grafikák (.skp fájlok) beszúrásának lehetősége ideiglenesen le van tiltva a Word, az Excel, a PowerPoint és az Outlook for Windows és Mac rendszerben. Azok az Office-verziók, amelyekben ez a funkció engedélyezve volt, a továbbiakban nem férhetnek hozzá. […] Köszönjük türelmét, miközben azon dolgozunk, hogy biztosítsuk a funkció biztonságát és működőképességét.

Az Office-fájlokba beágyazott objektumok új biztonsági kockázatokat jelentenek… ki tudta volna?

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• EVM Finance. Egységes felület a decentralizált pénzügyekhez. Hozzáférés itt.
• Quantum Media Group. IR/PR erősített. Hozzáférés itt.
• PlatoAiStream. Web3 adatintelligencia. Felerősített tudás. Hozzáférés itt.
• Forrás: https://nakedsecurity.sophos.com/2023/06/14/patch-tuesday-fixes-4-critical-rce-bugs-and-a-bunch-of-office-holes/