A Microsoft 5 nulla napos terjedelmes júliusi biztonsági frissítést tesz közzé

A Microsoft 5 nulla napos terjedelmes júliusi biztonsági frissítést tesz közzé

Időbélyeg: 11. július 2023. 6:16
Microsoft Discloses 5 Zero-Days in Voluminous July Security Update PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Microsoft júliusi biztonsági frissítés 130 egyedi sebezhetőség javítását tartalmazza, amelyek közül ötöt a támadók már aktívan kihasználnak a vadonban.

A cég a hibák közül kilencet kritikus súlyosságúnak, 121-et pedig közepes vagy fontosnak minősített. A biztonsági rések a Microsoft-termékek széles körét érintik, beleértve a Windowst, az Office-t, a .Net-et, az Azure Active Directory-t, a nyomtató-illesztőprogramokat, a DMS-kiszolgálót és a távoli asztalt. A frissítés a távoli kódvégrehajtás (RCE) hibáinak, a biztonsági megkerülési és jogosultságkiterjesztési problémáknak, az információközlési hibáknak és a szolgáltatásmegtagadási sebezhetőségeknek a szokásos keverékét tartalmazza.

„Ez a javítási mennyiség a legmagasabb, amit az elmúlt néhány évben láttunk, bár ez"Nem szokatlan, hogy a Microsoft nagyszámú javítást szállít közvetlenül a Black Hat USA konferencia előtt” – mondta Dustin Childs, a Trend Micro Zero Day Initiative (ZDI) biztonsági kutatója egy blogbejegyzésében.

Biztonsági kutatók szerint a javítások prioritása szempontjából a Microsoft ezen a héten közzétett öt nulla napja azonnali figyelmet érdemel.

A legsúlyosabb közülük az CVE-2023 36884-, egy távoli kódvégrehajtási (RCE) hiba az Office és a Windows HTML-ben, amelyhez a Microsoft nem kapott javítást az e havi frissítésben. A cég azonosította az általa nyomon követett fenyegetettségi csoportot, a Storm-0978-at, amely egy észak-amerikai és európai kormányzati és védelmi szervezeteket célzó adathalász kampány hibáját használja ki.

A kampány során a fenyegetés szereplője egy RomCom névre keresztelt hátsó ajtót terjeszt az Ukrán Világkongresszushoz kapcsolódó témájú Windows dokumentumokon keresztül. „Vihar-0978"célzott műveletei elsősorban Ukrajnában érintettek kormányzati és katonai szervezeteket, valamint olyan európai és észak-amerikai szervezeteket, amelyek potenciálisan érintettek az ukrán ügyekben." – mondta a Microsoft egy blogjában júliusi biztonsági frissítést kísérő bejegyzés. "Az azonosított ransomware támadások többek között a távközlési és a pénzügyi ágazatot is érintették."

Dustin Childs, a ZDI másik kutatója arra figyelmeztette a szervezeteket, hogy a CVE-2023-36884-et „kritikus” biztonsági problémaként kezeljék, jóllehet maga a Microsoft viszonylag kevésbé súlyos, „fontos” hibának értékelte. „A Microsoft furcsa lépést tett a CVE kiadásával nélkül egy tapaszt. Hogy"még hátravan” – írta Childs egy blogbejegyzésében. – Egyértelmű, ott"sokkal többet jelent ez a kizsákmányolás, mint amennyit mondanak."

Az aktívan kihasznált öt sebezhetőség közül kettő biztonsági megkerülési hibák. Az egyik a Microsoft Outlookot érinti (CVE-2023 35311-), a másik pedig a Windows SmartScreen (CVE-2023 32049-). Mindkét sérülékenység felhasználói beavatkozást igényel, ami azt jelenti, hogy a támadó csak úgy tudja kihasználni őket, ha ráveszi a felhasználót, hogy kattintson egy rosszindulatú URL-re. A CVE-2023-32049 esetén a támadó képes megkerülni a Fájl megnyitása – Biztonsági figyelmeztetés parancsot, míg a CVE-2023-35311 módot ad a támadóknak arra, hogy a Microsoft Outlook Biztonsági figyelmeztetés promptja segítségével ellopják a támadást.

„Fontos megjegyezni, hogy a [CVE-2023-35311] kifejezetten lehetővé teszi a Microsoft Outlook biztonsági funkcióinak megkerülését, és nem teszi lehetővé a távoli kódfuttatást vagy a jogosultságok kiterjesztését” – mondta Mike Walters, az Action1 sebezhetőség- és fenyegetéskutatási részlegének alelnöke. „Ezért a támadók valószínűleg más exploitokkal kombinálják egy átfogó támadás érdekében. A sérülékenység 2013-tól a Microsoft Outlook összes verzióját érinti” – jegyezte meg a Dark Readingnek küldött e-mailben.

Kev Breen, az Immersive Labs kiberfenyegetések kutatásáért felelős igazgatója értékelte a nulladik nap másik biztonsági megkerülését - CVE-2023-32049 – mint egy másik hiba, amelyet a fenyegetés szereplői nagy valószínűséggel egy szélesebb támadási lánc részeként fognak használni.

A Microsoft legújabb javításkészletének másik két nulladik napja egyaránt lehetővé teszi a jogosultságok kiterjesztését. A Google Threat Analysis Group kutatói felfedezték az egyiket. A hiba, nyomon követve CVE-2023 36874-, a Windows Error Reporting (WER) szolgáltatás jogosultság-emelési problémája, amely lehetőséget ad a támadóknak, hogy rendszergazdai jogokat szerezzenek a sebezhető rendszereken. A támadónak helyi hozzáférésre van szüksége az érintett rendszerhez a hiba kihasználásához, amelyet más kizsákmányolásokkal vagy hitelesítő adatokkal való visszaélésekkel szerezhet meg.

"A WER szolgáltatás a Microsoft Windows operációs rendszerek olyan funkciója, amely automatikusan összegyűjti és hibajelentéseket küld a Microsoftnak, ha bizonyos szoftverek összeomlanak vagy más típusú hibákkal találkoznak" - mondta Tom Bowyer, az Automox biztonsági kutatója. "Ezt a nulladik napi sebezhetőséget aktívan kihasználják, ezért ha a szervezete WER-t használ, javasoljuk, hogy 24 órán belül javítsák ki" - mondta.

A júliusi biztonsági frissítés másik kiterjesztett jogosultsági hibája, amelyet a támadók már aktívan kihasználnak, CVE-2023 32046- a Microsoft Windows MSHTM platformján, más néven a „Trident” böngésző rendering motorban. Mint sok más hiba, ez is bizonyos szintű felhasználói beavatkozást igényel. E-mailes támadás esetén a hiba kihasználásához a támadónak el kell küldenie a célzott felhasználónak egy speciálisan kialakított fájlt, és rá kell kérnie a felhasználót annak megnyitására. Web-alapú támadások esetén a támadónak egy rosszindulatú webhelyet kell tárolnia – vagy egy feltört webhelyet használnia –, hogy egy speciálisan kialakított fájlt tároljon, majd meggyőzze az áldozatot, hogy nyissa meg – mondta a Microsoft.

RCE-k a Windows Routing, Remote Access Service szolgáltatásban

A biztonsági kutatók három RCE-sérülékenységre mutattak rá a Windows Routing and Remote Access Service (RRAS) szolgáltatásban (CVE-2023 35365-, CVE-2023 35366-és CVE-2023 35367-) kiemelt figyelmet érdemel. A Microsoft mindhárom sebezhetőséget kritikusnak értékelte, és mindhárom CVSS-pontszáma 9.8. A szolgáltatás alapértelmezés szerint nem érhető el a Windows Server rendszeren, és alapvetően lehetővé teszi, hogy az operációs rendszert futtató számítógépek útválasztóként, VPN-kiszolgálóként és betárcsázós szerverként működjenek – mondta az Automox Bowyere. „A sikeres támadó módosíthatja a hálózati konfigurációkat, adatokat lophat el, más kritikusabb/fontosabb rendszerekre költözhet, vagy további fiókokat hozhat létre az eszközhöz való folyamatos hozzáférés érdekében."

SharePoint Server hibák

A Microsoft óriási júliusi frissítése négy RCE-sérülékenységet tartalmazott a SharePoint szerveren, amely a közelmúltban népszerű támadó célponttá vált. A Microsoft a hibák közül kettőt „fontosnak” minősített (CVE-2023 33134- és a CVE-2023-33159) a másik kettő pedig „kritikus” (CVE-2023 33157- és a CVE-2023 33160-). „Mindegyikük megköveteli a támadó hitelesítését, vagy a felhasználótól olyan művelet végrehajtását, amely szerencsére csökkenti a jogsértés kockázatát” – mondta Yoav Iellin, a Silverfort vezető kutatója. "Annak ellenére, hogy a SharePoint érzékeny adatokat tartalmazhat, és általában a szervezeten kívülről is elérhetővé válik, azoknak, akik a helyszíni vagy a hibrid verziót használják, frissíteniük kell."

Azoknak a szervezeteknek, amelyeknek meg kell felelniük az olyan előírásoknak, mint a FEDRAMP, PCI, HIPAA, SOC2 és hasonló előírások, figyelniük kell CVE-2023-35332: a Windows Remote Desktop Protocol Security Feature Bypass hibája – mondta Dor Dali, a Cyolo kutatási vezetője. A sérülékenység az elavult és elavult protokollok használatához kapcsolódik, beleértve a Datagram Transport Layer Security (DTLS) 1.0-s verzióját, amely jelentős biztonsági és megfelelőségi kockázatot jelent a szervezetek számára, mondta. Azokban a helyzetekben, amikor egy szervezet nem tud azonnal frissíteni, le kell tiltania az UDP-támogatást az RDP-átjáróban, mondta.

Ezen kívül a Microsoft közzétett egy tanácsadót a Microsoft által tanúsított illesztőprogramokat használó fenyegetés szereplőiről szóló legutóbbi jelentések vizsgálatáról"s Windows Hardware Developer Program (MWHDP) a kihasználás utáni tevékenységben.

Időbélyeg:

Még több Sötét olvasmány