L'aggiornamento di sicurezza Patch Tuesday programmato da Microsoft per febbraio include correzioni per due vulnerabilità di sicurezza zero-day sotto attacco attivo, oltre ad altri 71 difetti in un'ampia gamma di prodotti.
In totale, cinque delle vulnerabilità per le quali Microsoft ha rilasciato una patch di febbraio sono state classificate come critiche, 66 come importanti e due come moderate.
Il l'aggiornamento include le patch per Microsoft Office, Windows, Microsoft Exchange Server, il browser Edge basato su Chromium dell'azienda, Azure Active Directory, Microsoft Defender per Endpoint e Skype for business. Tenable ha identificato 30 dei 73 CVE come vulnerabilità legate all'esecuzione di codice in modalità remota (RCE); 16 come abilitazione dell'escalation dei privilegi; 10 legati ad errori di spoofing; nove perché consentono attacchi di tipo Denial-of-Service distribuiti; cinque come difetti nella divulgazione delle informazioni; e tre come problemi di bypass della sicurezza.
Water Hydra sfrutta gli zero-day prendendo di mira gli operatori finanziari
Un attore di minacce soprannominato Water Hydra (aka Dark Casino) sta attualmente sfruttando una delle vulnerabilità zero-day: un La funzionalità di sicurezza dei file di collegamento Internet aggira la vulnerabilità tracciato come CVE-2024-21412 (CVSS 8.1) — in una campagna dannosa rivolta alle organizzazioni del settore finanziario.
I ricercatori di Trend Micro, tra i tanti che hanno scoperto e segnalato il difetto a Microsoft, lo hanno descritto come legato al bypass di una vulnerabilità SmartScreen precedentemente corretta (CVE-2023-36025, CVSS 8.8) e interessa tutte le versioni di Windows supportate. Gli autori di Water Hydra utilizzano CVE-2024-21412 per ottenere l'accesso iniziale ai sistemi appartenenti ai trader finanziari e inserire su di essi il trojan di accesso remoto DarkMe.
Per sfruttare la vulnerabilità, un utente malintenzionato dovrebbe prima consegnare un file dannoso a un utente preso di mira e convincerlo ad aprirlo, ha affermato Saeed Abbasi, responsabile del ricercatore di vulnerabilità presso Qualys, in un commento via email. “L’impatto di questa vulnerabilità è profondo, compromette la sicurezza e mina la fiducia nei meccanismi di protezione come SmartScreen”, ha affermato Abbasi.
SmartScreen bypassa Zero-Day
L'altro zero-day rivelato da Microsoft nell'aggiornamento di sicurezza di questo mese riguarda Defender SmartScreen. Secondo Microsoft, CVE-2024-21351 è un bug di media gravità che consente a un utente malintenzionato di aggirare le protezioni SmartScreen e inserirvi codice per ottenere potenzialmente funzionalità di esecuzione di codice in modalità remota. Un exploit riuscito potrebbe portare a un’esposizione limitata dei dati, a problemi di disponibilità dei sistemi o a entrambi, ha affermato Microsoft. Non sono disponibili dettagli su chi esattamente potrebbe sfruttare il bug e per quale scopo.
Nei commenti preparati per Dark Reading, Mike Walters, presidente e co-fondatore di Action1, ha affermato che la vulnerabilità è legata al modo in cui Mark of the Web di Microsoft (una funzionalità per identificare contenuti non attendibili da Internet) interagisce con la funzionalità SmartScreen. "Per questa vulnerabilità, un utente malintenzionato deve distribuire un file dannoso a un utente e convincerlo ad aprirlo, consentendogli di aggirare i controlli SmartScreen e potenzialmente compromettere la sicurezza del sistema", ha affermato Walters.
Bug ad alta priorità
Tra le cinque vulnerabilità critiche dell'aggiornamento di febbraio, quella che richiede attenzione prioritaria è CVE-2024-21410, una vulnerabilità legata all'escalation dei privilegi in Exchange Server, uno degli obiettivi preferiti dagli aggressori. Un utente malintenzionato potrebbe utilizzare il bug per rivelare l'hash Net-New Technology LAN Manager (NTLM) versione 2 di un utente preso di mira, quindi inoltrare tale credenziale a un Exchange Server interessato ed autenticarsi su di esso come utente.
Difetti come questo che rivelano informazioni sensibili come gli hash NTLM possono essere molto preziosi per gli aggressori, ha affermato in una nota Satnam Narang, ingegnere ricercatore senior di Tenable. "Un hacker con sede in Russia ha sfruttato una vulnerabilità simile per sferrare attacchi: CVE-2023-23397 è una vulnerabilità di elevazione dei privilegi in Microsoft Outlook corretta nel marzo 2023", ha affermato.
Per correggere il difetto, gli amministratori di Exchange dovranno assicurarsi di aver installato l'aggiornamento cumulativo 2019 (CU14) di Exchange Server 14 e assicurarsi che la funzione Extended Protection for Authentication (EPA) sia abilitata, ha affermato Trend Micro. Il venditore di sicurezza indicò un articolo che Microsoft ha pubblicato che fornisce informazioni aggiuntive su come correggere la vulnerabilità.
Microsoft ha assegnato a CVE-2024-21410 un punteggio di gravità massimo di 9.1 su 10, che lo rende una vulnerabilità critica. Ma in genere le vulnerabilità legate all’escalation dei privilegi tendono ad avere un punteggio relativamente basso sulla scala di valutazione delle vulnerabilità CVSS, il che smentisce la vera natura della minaccia che rappresentano, ha affermato Kev Breen, direttore senior della ricerca sulle minacce presso Immersive Labs. "Nonostante il loro punteggio basso, le vulnerabilità [dell'escalation dei privilegi] sono molto ricercate dagli autori delle minacce e utilizzate in quasi tutti gli incidenti informatici", ha affermato Breen in una nota. "Una volta che un utente malintenzionato ha accesso a un account utente tramite ingegneria sociale o qualche altro attacco, cercherà di inoltrare le proprie autorizzazioni all'amministratore locale o all'amministratore del dominio."
Walters di Azione1 evidenziato CVE-2024-21413, un difetto RCE in Microsoft Outlook come vulnerabilità a cui gli amministratori potrebbero voler dare priorità dal batch di febbraio. Il difetto di gravità critica, con un punteggio di gravità quasi massimo pari a 9.8, comporta una bassa complessità dell'attacco, nessuna interazione con l'utente e nessun privilegio speciale richiesto affinché un utente malintenzionato possa sfruttarlo. "Un utente malintenzionato può sfruttare questa vulnerabilità tramite il riquadro di anteprima di Outlook, consentendogli di aggirare la visualizzazione protetta di Office e forzare l'apertura dei file in modalità di modifica, anziché nella modalità protetta più sicura", ha affermato Walters.
La stessa Microsoft ha identificato la vulnerabilità come qualcosa che gli aggressori hanno meno probabilità di attaccare. Tuttavia, Walters ha affermato che la vulnerabilità rappresenta una minaccia sostanziale per le organizzazioni e richiede un’attenzione tempestiva.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/attackers-exploit-microsoft-security-bypass-zero-day-bugs
- :ha
- :È
- 1
- 10
- 14
- 16
- 2019
- 2023
- 30
- 66
- 7
- 8
- 9
- a
- accesso
- Secondo
- Il mio account
- operanti in
- attivo
- attori
- aggiuntivo
- Informazioni aggiuntive
- Admin
- amministratori
- influenzato
- che interessano
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- aka
- Tutti
- Consentire
- consente
- quasi
- tra
- an
- ed
- SONO
- AS
- addetto
- At
- attacco
- aggressore
- attacchi
- attenzione
- autenticare
- Autenticazione
- disponibilità
- disponibile
- azzurro
- BE
- appartenente
- entrambi
- del browser
- Insetto
- bug
- affari
- ma
- by
- aggirare
- Campagna
- Materiale
- funzionalità
- trasportare
- Casinò
- Controlli
- aggirare
- Co-fondatore
- codice
- commento
- Commenti
- azienda
- complessità
- compromesso
- compromettendo
- contenuto
- potuto
- CREDENZIALI
- critico
- Attualmente
- Cyber
- Scuro
- Lettura oscura
- dati
- consegnare
- descritta
- Nonostante
- dettagli
- Direttore
- elenco
- Rilevare
- Rivelazione
- scoperto
- distribuire
- distribuito
- dominio
- Cadere
- soprannominato
- bordo
- o
- abilitato
- consentendo
- endpoint
- ingegnere
- Ingegneria
- garantire
- EPA
- errori
- degenerare
- intensificazione
- Ogni
- di preciso
- exchange
- esecuzione
- Sfruttare
- sfruttando
- gesta
- Esposizione
- preferito
- caratteristica
- Febbraio
- Compila il
- File
- finanziario
- Settore finanziario
- Nome
- cinque
- correzioni
- difetto
- difetti
- Nel
- forza
- da
- Guadagno
- ottenere
- hash
- Avere
- he
- Evidenziato
- vivamente
- Come
- Tutorial
- HTTPS
- identificato
- identificazione
- immersiva
- Impact
- importante
- in
- incidente
- inclusi
- informazioni
- inizialmente
- iniettare
- installato
- interazione
- interagisce
- Internet
- ai miglioramenti
- comporta
- Rilasciato
- sicurezza
- IT
- SUO
- stessa
- jpg
- Labs
- portare
- meno
- leveraged
- leveraging
- piace
- probabile
- Limitato
- locale
- Basso
- FA
- maligno
- direttore
- modo
- Marzo
- marchio
- massimo
- meccanismi di
- microfono
- Microsoft
- forza
- microfono
- Moda
- moderata
- Mese
- devono obbligatoriamente:
- Natura
- Vicino
- Bisogno
- tuttavia
- GENERAZIONE
- nove
- no
- of
- Office
- on
- una volta
- ONE
- aprire
- or
- organizzazioni
- Altro
- su
- Outlook
- vetro
- Toppa
- Patch Martedì
- permessi
- Platone
- Platone Data Intelligence
- PlatoneDati
- più
- pone
- potenzialmente
- preparato
- presenti
- Presidente
- Anteprima
- in precedenza
- Dare priorità
- priorità
- privilegio
- privilegi
- Prodotti
- profonda
- protetta
- protezione
- protettivo
- fornisce
- scopo
- gamma
- nominale
- piuttosto
- valutazione
- Lettura
- relativamente
- a distanza
- accesso remoto
- Segnalati
- necessario
- richiede
- riparazioni
- ricercatore
- s
- più sicuro
- Suddetto
- Scala
- in programma
- Punto
- settore
- problemi di
- Cercare
- anziano
- delicata
- server
- alcuni
- simile
- Skype
- Social
- Ingegneria sociale
- alcuni
- qualcosa
- ricercato
- la nostra speciale
- Sponsored
- STAFF
- dichiarazione
- sostanziale
- di successo
- supportato
- sistema
- SISTEMI DI TRATTAMENTO
- Target
- mirata
- mira
- Tecnologia
- Tendono
- di
- che
- Il
- loro
- Li
- poi
- di
- questo
- minaccia
- attori della minaccia
- tre
- Attraverso
- Legato
- a
- Traders
- Trend
- Trojan
- vero
- Affidati ad
- Martedì
- seconda
- tipicamente
- per
- Aggiornanento
- uso
- utilizzato
- Utente
- utilizzando
- Prezioso
- venditore
- versione
- versioni
- molto
- via
- Visualizza
- vulnerabilità
- vulnerabilità
- volere
- Water
- sito web
- sono stati
- Che
- quale
- OMS
- largo
- Vasta gamma
- volere
- finestre
- con
- sarebbe
- zefiro
- vulnerabilità zero-day