Microsoft rivela 5 giorni zero nel voluminoso aggiornamento della sicurezza di luglio

Microsoft rivela 5 giorni zero nel voluminoso aggiornamento della sicurezza di luglio

Timestamp: 11 luglio 2023 6:16
Microsoft rivela 5 Zero-Day nel voluminoso aggiornamento di sicurezza di luglio PlatoBlockchain Data Intelligence. Ricerca verticale. Ai.

Microsoft Aggiornamento della sicurezza di luglio contiene correzioni per ben 130 vulnerabilità uniche, cinque delle quali gli aggressori stanno già sfruttando attivamente in natura.

L'azienda ha valutato nove dei difetti come di gravità critica e 121 di essi come gravità moderata o importante. Le vulnerabilità interessano un'ampia gamma di prodotti Microsoft tra cui Windows, Office, .Net, Azure Active Directory, driver di stampa, server DMS e desktop remoto. L'aggiornamento conteneva il solito mix di difetti di esecuzione di codice remoto (RCE), bypass di sicurezza e problemi di escalation dei privilegi, bug di divulgazione delle informazioni e vulnerabilità di negazione del servizio.

“Questo volume di correzioni è il più alto che abbiamo visto negli ultimi anni, anche se'Non è insolito vedere Microsoft spedire un gran numero di patch subito prima della conferenza Black Hat USA", ha affermato Dustin Childs, ricercatore di sicurezza presso Zero Day Initiative (ZDI) di Trend Micro, in un post sul blog.

Dal punto di vista della definizione delle priorità delle patch, i cinque giorni zero che Microsoft ha rivelato questa settimana meritano un'attenzione immediata, secondo i ricercatori di sicurezza.

Il più serio di loro è CVE-2023-36884, un bug di esecuzione di codice remoto (RCE) in Office e Windows HTML, per il quale Microsoft non disponeva di una patch nell'aggiornamento di questo mese. La società ha identificato un gruppo di minacce che sta monitorando, Storm-0978, che sfrutta la falla in una campagna di phishing rivolta a organizzazioni governative e di difesa in Nord America ed Europa.

La campagna prevede che l'attore della minaccia distribuisca una backdoor, soprannominata RomCom, tramite documenti Windows con temi relativi al Congresso mondiale ucraino. “Tempesta-0978'Le operazioni mirate hanno avuto un impatto sulle organizzazioni governative e militari principalmente in Ucraina, nonché su organizzazioni in Europa e Nord America potenzialmente coinvolte negli affari ucraini", Microsoft ha detto in un blog post che ha accompagnato l'aggiornamento della sicurezza di luglio. "Gli attacchi ransomware identificati hanno avuto un impatto sui settori delle telecomunicazioni e della finanza, tra gli altri".

Dustin Childs, un altro ricercatore di ZDI, ha avvertito le organizzazioni di trattare CVE-2023-36884 come un problema di sicurezza "critico", anche se la stessa Microsoft lo ha valutato come un bug "importante" relativamente meno grave. “Microsoft ha intrapreso la strana azione di rilasciare questo CVE senza una patch. Quello'deve ancora arrivare”, ha scritto Childs in un post sul blog. “Chiaramente, ecco'sa molto di più per questo exploit di quanto si dice.

Due delle cinque vulnerabilità che vengono attivamente sfruttate sono difetti di bypass della sicurezza. Uno riguarda Microsoft Outlook (CVE-2023-35311) e l'altro coinvolge Windows SmartScreen (CVE-2023-32049). Entrambe le vulnerabilità richiedono l'interazione dell'utente, il che significa che un utente malintenzionato potrebbe sfruttarle solo convincendo un utente a fare clic su un URL dannoso. Con CVE-2023-32049, un utente malintenzionato sarebbe in grado di aggirare il prompt Open File - Security Warning, mentre CVE-2023-35311 offre agli aggressori un modo per aggirare il loro attacco tramite il prompt Avviso di sicurezza di Microsoft Outlook.

"È importante notare che [CVE-2023-35311] consente specificamente di aggirare le funzionalità di sicurezza di Microsoft Outlook e non abilita l'esecuzione di codice in modalità remota o l'escalation dei privilegi", ha affermato Mike Walters, vicepresidente della ricerca sulle vulnerabilità e sulle minacce di Action1. “Pertanto, è probabile che gli aggressori lo combinino con altri exploit per un attacco completo. La vulnerabilità riguarda tutte le versioni di Microsoft Outlook dal 2013 in poi", ha osservato in una e-mail a Dark Reading.

Kev Breen, direttore della ricerca sulle minacce informatiche presso Immersive Labs, ha valutato l'altro bypass di sicurezza zero-day - CVE-2023-32049 - come un altro bug che molto probabilmente gli attori delle minacce utilizzeranno come parte di una catena di attacco più ampia.

Gli altri due zero-day nell'ultimo set di patch di Microsoft abilitano entrambi l'escalation dei privilegi. I ricercatori del Threat Analysis Group di Google ne hanno scoperto uno. Il difetto, rintracciato come CVE-2023-36874, è un problema di elevazione dei privilegi nel servizio Segnalazione errori Windows (WER) che offre agli aggressori un modo per ottenere diritti amministrativi sui sistemi vulnerabili. Un utente malintenzionato avrebbe bisogno dell'accesso locale a un sistema interessato per sfruttare il difetto, che potrebbe ottenere tramite altri exploit o tramite un uso improprio delle credenziali.

"Il servizio WER è una funzionalità dei sistemi operativi Microsoft Windows che raccoglie e invia automaticamente segnalazioni di errori a Microsoft quando un determinato software si arresta in modo anomalo o incontra altri tipi di errori", ha affermato Tom Bowyer, ricercatore di sicurezza presso Automox. "Questa vulnerabilità zero-day viene sfruttata attivamente, quindi se WER viene utilizzato dalla tua organizzazione, ti consigliamo di applicare le patch entro 24 ore", ha affermato.

L'altro bug di elevazione dei privilegi nell'aggiornamento della sicurezza di luglio che gli aggressori stanno già sfruttando attivamente è CVE-2023-32046 nella piattaforma Windows MSHTM di Microsoft, noto anche come motore di rendering del browser "Trident". Come per molti altri bug, anche questo richiede un certo livello di interazione da parte dell'utente. In uno scenario di attacco tramite posta elettronica per sfruttare il bug, un utente malintenzionato dovrebbe inviare a un utente mirato un file appositamente predisposto e chiedere all'utente di aprirlo. In un attacco basato sul Web, un utente malintenzionato dovrebbe ospitare un sito Web dannoso o utilizzarne uno compromesso per ospitare un file appositamente predisposto e quindi convincere una vittima ad aprirlo, ha affermato Microsoft.

RCE in Routing Windows, Servizio di accesso remoto

I ricercatori di sicurezza hanno indicato tre vulnerabilità RCE nel servizio di routing e accesso remoto di Windows (RRAS) (CVE-2023-35365, CVE-2023-35366e CVE-2023-35367) come meritevoli di attenzione prioritaria come tutti. Microsoft ha valutato tutte e tre le vulnerabilità come critiche e tutte e tre hanno un punteggio CVSS di 9.8. Il servizio non è disponibile per impostazione predefinita su Windows Server e sostanzialmente consente ai computer che eseguono il sistema operativo di funzionare come router, server VPN e server dial-up, ha affermato Bowyer di Automox. “Un aggressore di successo potrebbe modificare le configurazioni di rete, rubare dati, passare ad altri sistemi più critici/importanti o creare account aggiuntivi per l'accesso permanente al dispositivo."

Difetti di SharePoint Server

Il gigantesco aggiornamento di luglio di Microsoft conteneva correzioni per quattro vulnerabilità RCE nel server SharePoint, che recentemente è diventato un obiettivo popolare per gli aggressori. Microsoft ha valutato due dei bug come "importanti" (CVE-2023-33134 ed CVE-2023-33159) e gli altri due come “critici” (CVE-2023-33157 ed CVE-2023-33160). "Tutti richiedono che l'attaccante sia autenticato o che l'utente esegua un'azione che, fortunatamente, riduce il rischio di una violazione", ha affermato Yoav Iellin, ricercatore senior di Silverfort. "Anche così, poiché SharePoint può contenere dati sensibili ed è solitamente esposto dall'esterno dell'organizzazione, coloro che utilizzano le versioni on-premise o ibride dovrebbero aggiornare."

Le organizzazioni che devono conformarsi a regolamenti come FEDRAMP, PCI, HIPAA, SOC2 e regolamenti simili dovrebbero prestare attenzione a CVE-2023-35332: un difetto di bypass della funzionalità di sicurezza del protocollo di desktop remoto di Windows, ha affermato Dor Dali, capo della ricerca presso Cyolo. La vulnerabilità ha a che fare con l'utilizzo di protocolli obsoleti e deprecati, tra cui Datagram Transport Layer Security (DTLS) versione 1.0, che presenta notevoli rischi per la sicurezza e la conformità alle organizzazioni, ha affermato. In situazioni in cui un'organizzazione non può aggiornare immediatamente, dovrebbe disabilitare il supporto UDP nel gateway RDP, ha affermato.

Inoltre, Microsoft pubblicato un avviso sulla sua indagine sulle recenti segnalazioni di autori di minacce che utilizzano driver certificati da Microsoft's Windows Hardware Developer Program (MWHDP) nell'attività post-exploit.

Timestamp:

Di più da Lettura oscura