Idén február precíz négyhetes hosszának köszönhetően ismét megtörtént a múlt havi Firefox és Microsoft frissítések egybeesése.
A múlt hónapban a Microsoft foglalkozott három nulladik nap, ami alatt olyan biztonsági lyukakat értünk, amelyeket a kiberbűnözők találtak meg először, és rájöttek, hogyan lehet visszaélni valós támadásokkal, mielőtt bármilyen javítás elérhető lett volna.
(A név nulla nap, vagy csak 0 nap, emlékeztet arra, hogy még a legprogresszívebb és legproaktívabb foltozóink is pontosan nulla napot élveztek, amikor megelőzhettük volna a szélhámosokat.)
2023 márciusában két nulladik napi javítás létezik, az egyik Outlook, a másik pedig be windows intelligens képernyő.
Érdekes módon egy vadonban felfedezett hiba miatt, bár egyet a Microsoft meglehetősen nyájasan jelentett Kihasználás észlelve, az Outlook hibáját együttesen jóváírják CERT-UA (az ukrán Computer Emergency Response Team), a Microsoft Incident Response és a Microsoft Threat Intelligence.
Azt csinálhatsz belőle, amit akarsz.
Outlook EoP
Ez a hiba, szinkronizált CVE-2023-23397: Microsoft Outlook Elevation of Privilege biztonsági rése (EoP), van leírt az alábbiak szerint:
A biztonsági rést sikeresen kihasználó támadó hozzáférhet a felhasználó Net-NTLMv2-kivonatához, amely egy másik szolgáltatás elleni NTLM-továbbítási támadás alapjául szolgálhat a felhasználóként való hitelesítéshez. […]
A támadó kihasználhatja ezt a biztonsági rést egy speciálisan kialakított e-mail küldésével, amely automatikusan aktiválódik, amikor az Outlook-kliens lekéri és feldolgozza. Ez kihasználáshoz vezethet, MIELŐTT az e-mailt megtekintik az Előnézet ablakban. […]
A külső támadók speciálisan kialakított e-maileket küldhetnek, amelyek kapcsolatot teremtenek az áldozattól a támadók irányítása alatt álló külső UNC-helyhez. Ez kiszivárogtatja az áldozat Net-NTLMv2-kivonatát a támadónak, aki továbbíthatja ezt egy másik szolgáltatásnak, és áldozatként azonosíthatja magát.
Elmagyarázni (amennyire sejthetjük, mivel a támadásról nincs konkrétumunk).
A Net-NTLMv2 hitelesítés, amelyet röviden NTLM2-nek nevezünk, nagyjából így működik:
- A hely, amelyhez csatlakozik több mint 8 véletlenszerű bájtot küld néven ismert kihívás.
- A számítógéped generálja a saját 8 véletlenszerű bájtját.
- te számítson ki egy HMAC-MD5 kulcsos hash-t a két kihívás karakterláncból a jelszó meglévő, biztonságosan tárolt kivonatát használja kulcsként.
- te küldje el a kulcsos hash-t és a 8 bájtos kihívást.
- A másik oldalon most már 8 bájtos kihívások és az Ön egyszeri válasza is megtalálható, szóval lehet Számolja újra a kulcsolt hash-t, és ellenőrizze a választ.
Valójában ennél jóval többről van szó, mert valójában két kulcsos hash van, az egyik a két 8 bájtos véletlenszerű kihívás számot keveri, a másik pedig további adatokat kever bele, beleértve a felhasználónevét, a domain nevét és az aktuális időt.
De az alapelv ugyanaz.
Sem a tényleges jelszava, sem a jelszó tárolt hash-je (például az Active Directoryból) soha nem kerül továbbításra, így az nem szivároghat ki az átvitel során.
Ezenkívül mindkét fél minden alkalommal beilleszt 8 bájtot a saját véletlenszerűségéből, ami megakadályozza, hogy bármelyik fél lopva újra felhasználja a régi kihívást abban a reményben, hogy ugyanazt a kulcsolt hash-t kapja, mint az előző munkamenetben.
(Az idő- és egyéb bejelentkezés-specifikus adatok becsomagolása extra védelmet nyújt az ún visszajátszási támadások, de ezeket a részleteket itt figyelmen kívül hagyjuk.)
Középen ülve
Elképzelhető, mivel a támadó ráveheti Önt, hogy megpróbáljon „bejelentkezni” a hamis szerverére (akár amikor elolvassa a csapdába esett e-mailt, vagy ami még rosszabb, amikor az Outlook elkezdi feldolgozni azt az Ön nevében, mielőtt még megkapja a egy pillantást, hogy milyen hamisnak tűnhet), a végén egyetlen érvényes NTLM2 válasz szivárog ki.
Ennek a válasznak az a célja, hogy bebizonyítsa a másik végletnek, nem csak azt, hogy valóban tudja annak a fióknak a jelszavát, amelyről azt állítja, hogy a tiéd, hanem azt is (a kihívás adatainak keverése miatt), hogy nem csak egy korábbi választ használsz fel. .
Tehát, amint a Microsoft figyelmeztet, egy támadó, aki pontosan tudja időzíteni a dolgokat, meg tudja kezdeni a hitelesítést egy eredeti szerveren, anélkül, hogy ismerné a jelszavát vagy a hash-ét, csak azért, hogy egy 8 bájtos indítási kihívást kapjon a valódi szervertől…
…majd visszaküldi neked a kihívást abban a pillanatban, amikor becsapják, hogy megpróbálj bejelentkezni a hamis szerverükre.
Ha ezután kiszámítja a kulcsos hash-t, és visszaküldi azt „bizonyítékként, hogy jelenleg tudom a saját jelszavamat”, a csalók esetleg vissza tudják küldeni a helyesen kiszámított választ az eredeti szerverre, amelybe be akarnak hatolni, és így hogy rávegye azt a szervert, hogy úgy fogadja el őket, mintha te lennének.
Röviden, mindenképpen érdemes foltozni ez ellen, mert még akkor is, ha a támadás sok próbálkozást, időt és szerencsét igényel, és nem túl nagy valószínűséggel működik, már tudjuk, hogy „Kizsákmányolás észlelve”.
Más szavakkal, a támadást működésre lehet bírni, és legalább egyszer sikerült egy gyanútlan áldozattal szemben, aki szerinte nem tett semmi kockázatot vagy rosszat.
SmartScreen biztonsági bypass
A második nulladik nap CVE-2023 24880-, és nagyjából ez is körülír maga: A Windows SmartScreen biztonsági szolgáltatásának megkerülési sebezhetősége.
Egyszerűen fogalmazva, a Windows általában egy jelzővel jelöli meg az interneten keresztül érkező fájlokat: „Ez a fájl kívülről jött; bánj vele gyerekkesztyűvel, és ne bízz benne túlságosan.”
Ezt a honnan jött jelzőt korábban fájlként ismerték Internet Zóna azonosítót, és emlékezteti a Windows-t, hogy mennyi (vagy milyen kevés) bizalmat kell helyeznie a fájl tartalmába, amikor később használják.
Ezek a napok Zóna azonosító (amiért érdemes, a 3-as azonosító azt jelenti, hogy „az internetről”) általában a drámaibb és emlékezetesebb névvel illetik. Mark Of The Webvagy MotW röviden.
Technikailag ez a zónaazonosító a fájllal együtt az úgynevezett an Alternatív adatfolyamvagy ADS, de a fájlok csak akkor tartalmazhatnak ADS-adatokat, ha NTFS-formátumú Wiindows lemezeken vannak tárolva. Ha például egy fájlt FAT-kötetre ment, vagy nem NTFS-meghajtóra másolja, a zónaazonosító elveszik, így ez a védőcímke némileg korlátozott.
Ez a hiba azt jelenti, hogy egyes kívülről érkező fájlok – például letöltések vagy e-mailek mellékletei – nem kapnak megfelelő MotW-azonosítót, így lopva megkerülik a Microsoft hivatalos biztonsági ellenőrzéseit.
Microsoft nyilvános közlöny nem mondja meg, hogy pontosan milyen típusú fájlokat (képeket? Office-dokumentumokat? PDF-eket? mindet?) lehet így beszivárogtatni a hálózatába, de nagyon általánosan figyelmeztet arra, hogy „biztonsági funkciók, például a Microsoft Office védett nézete” ezzel a trükkel megkerülhető.
Feltételezzük, hogy ez azt jelenti, hogy a rosszindulatú fájlok, amelyek általában ártalmatlanná válnak, például a beépített makrókód elnyomásával, megtekintéskor vagy megnyitáskor váratlanul életre kelhetnek.
A frissítés ismét egy szintre hozza a támadókkal, tehát Ne késlekedjen/foltozza meg még ma.
Mit kell tenni?
- Foltoztassa, amint lehet, ahogy fentebb mondtuk.
- Olvassa el a teljes SophosLabs elemzés ezekből a hibákból és több mint 70 egyéb javításból, ha még mindig nem vagy meggyőződve.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://nakedsecurity.sophos.com/2023/03/15/microsoft-fixes-two-0-days-on-patch-tuesday-update-now/
- :is
- $ UP
- 1
- 2023
- 70
- 8
- a
- Képes
- Rólunk
- felett
- Abszolút
- visszaélés
- hozzáférés
- Fiók
- aktív
- tulajdonképpen
- További
- Hozzáteszi
- hirdetések
- ellen
- előre
- Minden termék
- már
- között
- és a
- Másik
- válasz
- VANNAK
- AS
- At
- támadás
- Támadások
- hitelesíteni
- Hitelesítés
- szerző
- auto
- automatikusan
- elérhető
- vissza
- background-image
- alap
- BE
- mert
- előtt
- Bit
- határ
- Mindkét oldal
- Alsó
- hoz
- nagyjából
- Bogár
- bogarak
- beépített
- by
- hívás
- TUD
- eset
- Okoz
- Központ
- kihívás
- kihívások
- Ellenőrzések
- követelés
- vásárló
- kód
- egybeesés
- szín
- hogyan
- Kiszámít
- számítógép
- Csatlakozó
- kapcsolat
- tartalom
- ellenőrzés
- tudott
- terjed
- Jelenlegi
- kiberbűnözők
- dátum
- Nap
- minden bizonnyal
- részletek
- DID
- felfedezett
- kijelző
- dokumentumok
- Nem
- domain
- Domain név
- ne
- letöltések
- drámaian
- hajtás
- szinkronizált
- alatt
- bármelyik
- e-mailek
- vészhelyzet
- Még
- EVER
- Minden
- pontosan
- példa
- létező
- Magyarázza
- Exploit
- kizsákmányolás
- Hasznosított
- külső
- külön-
- igazságos
- hamisítvány
- Zsír
- Funkció
- Jellemzők
- február
- mintás
- filé
- Fájlok
- Firefox
- vezetéknév
- hibája
- következik
- A
- talált
- ból ből
- Tele
- kap
- adott
- megpillant
- Go
- történt
- hash
- Legyen
- tekintettel
- magasság
- itt
- Holes
- remény
- lebeg
- Hogyan
- How To
- HTTPS
- i
- ID
- azonosító
- képek
- in
- incidens
- eseményre adott válasz
- Beleértve
- Intelligencia
- Internet
- IT
- ITS
- maga
- Kulcs
- Kölyök
- Ismer
- Ismerve
- ismert
- Címke
- keresztnév
- vezet
- szivárog
- Hossz
- élet
- mint
- Valószínű
- Korlátozott
- kis
- elhelyezkedés
- néz
- szerencse
- Macro
- készült
- csinál
- március
- Margó
- max-width
- eszközök
- microsoft
- esetleg
- vegyes
- Keverés
- pillanat
- Hónap
- több
- a legtöbb
- MOTW
- név
- hálózat
- normális
- számok
- of
- Office
- hivatalos
- Régi
- on
- ONE
- nyitott
- Más
- Outlook
- kívül
- saját
- üvegtábla
- párt
- Jelszó
- Tapasz
- folt kedd
- Patches
- Paul
- Plató
- Platón adatintelligencia
- PlatoData
- pozíció
- Hozzászólások
- pontos
- pontosan
- szép
- Preview
- előző
- alapelv
- proaktív
- Feldolgozott
- feldolgozás
- progresszív
- védett
- védelem
- Védő
- Bizonyít
- tesz
- véletlen
- véletlenszerűség
- Inkább
- Olvass
- igazi
- említett
- válasz
- Számolt
- megköveteli,
- válasz
- Kockázatos
- nagyjából
- Mondott
- azonos
- Megtakarítás
- azt mondja,
- Második
- biztonság
- elküldés
- szolgáltatás
- ülés
- rövid
- kellene
- Sides
- egyetlen
- So
- szilárd
- néhány
- némileg
- különösen
- tavasz
- kezdet
- Kezdve
- kezdődik
- Még mindig
- memorizált
- Később
- sikeresen
- ilyen
- SVG
- csapat
- hogy
- A
- azok
- Őket
- Ezek
- dolgok
- idén
- fenyegetés
- idő
- nak nek
- is
- felső
- tranzit
- átmenet
- átlátszó
- kezelésére
- Bízzon
- Kedd
- típusok
- ukrán
- mögöttes
- Frissítések
- Frissítés
- URL
- us
- használó
- rendszerint
- ellenőrzése
- keresztül
- Áldozat
- Megnézem
- kötet
- sebezhetőség
- figyelmeztet
- Út..
- Mit
- ami
- WHO
- szélesség
- Vadon
- lesz
- ablakok
- val vel
- nélkül
- szavak
- Munka
- művek
- érdemes
- lenne
- Rossz
- év
- te
- A te
- zephyrnet
- nulla