במה שבוודאי תהיה הפסקה מרעננת עבור צוותי IT ואבטחה, עדכון האבטחה החודשי של מיקרוסופט לדצמבר 2023 הכיל פחות נקודות תורפה שניתן לטפל בהן מאשר בחודשים האחרונים.
העדכון כלל תיקונים עבור סך של 36 פגיעויות, ארבע מהן זיהתה מיקרוסופט כבעלות חומרה קריטית, אחת כמתונה, והשאר כאיומים חשובים או בינוניים. אחד עשר מהבאגים בעדכון דצמבר - או יותר משליש - הם בעיות שגורמי איומים נוטים יותר לנצל. זה תיאור שמיקרוסופט שומרת לבאגים שסביר להניח שהם מטרה אטרקטיבית לתוקפים ואחד שהם יכלו לנצל באופן עקבי.
הטלאים ש מיקרוסופט פרסמה היום כלול אחד עבור פגיעות בערכת שבבים AMD (CVE-2023-20588) שעבורו הוכחת מושג זמינה לציבור. אבל רק בפעם השנייה השנה, עדכון האבטחה של דצמבר לא הכיל פגמים מנוצלים באופן פעיל - דבר שבדרך כלל דורש תגובה מיידית.
מתנה לחג מוקדם?
"התיקון של דצמבר עשוי להיראות כמו מתנה עונתית מוקדמת לצוותי אבטחה עם מספר קטן של תיקונים ואף אחד מהם לא דווח כמנוצל בטבע", אמר קב ברין, מנהל בכיר לחקר האיומים ב-Immersive Labs. "אבל זה לא אומר שמישהו צריך להיות רגוע עם כוס יין חם." הוא הצביע על המספר הגבוה יחסית של CVEs שמיקרוסופט זיהתה כבעל סיכוי גבוה יותר לניצול כסיבה אחת לחריצות, במיוחד בהתחשב באיזו מהירות התוקפים מנצלים פגמים חדשים בימינו.
יש לציין כי עדכון התיקון מכיל תיקונים עבור 10 פרצות הסלמה של הרשאות, קטגוריה של באגים המדורגת בעקביות בדרגת חומרה נמוכה יותר מאשר באגים של ביצוע קוד מרחוק, אך מסוכנים כמעט באותה מידה, אמר ברין. "כמעט כל פרצת אבטחה תכיל שלב הסלמה של הרשאות המאפשרת לתוקף לקבל הרשאות ברמת המערכת ולהשבית כלי אבטחה או לפרוס התקפות וכלים אחרים", אמר.
באגים לתעדוף בקבוצת דצמבר
בהפסקה מהרגיל, לחוקרי אבטחה היו תפיסות מעט שונות לגבי מה שהם תפסו כבאגים המשמעותיים ביותר באצווה האחרונה. אבל פגם אחד שהכי מוסכם עליו הוא נושא בעדיפות גבוהה הוא CVE-2023-35628, באג של ביצוע קוד מרחוק בפלטפורמת Windows MSHTML. מיקרוסופט נתנה לבאג דירוג חומרה של 8.1 מתוך 10 בסולם CVSS וזיהתה אותו כבעיה שגורמי איומים נוטים יותר להשתמש בה לרעה.
"בניגוד למקרים רגילים שבהם צפייה באימייל בחלונית התצוגה המקדימה גורמת לבעיה, הבעיה מתרחשת מוקדם יותר הפעם", אומר סעיד עבאסי, מנהל חקר פגיעות ואיומים בחברת Qualys. "הבעיה מתרחשת ברגע ש-Outlook מוריד ומטפל בדוא"ל, עוד לפני שהוא מופיע בחלונית התצוגה המקדימה."
הוא צופה שכנופיות תוכנות כופר ינסו לנצל את הזרם. "אבל ניצול מוצלח דורש טכניקות מתוחכמות לעיצוב זיכרון, מה שמציב אתגר מהותי", מוסיף עבאסי.
כמו כן, המחמירה את חומרת הבאג היא העובדה ש-MSHTML הוא מרכיב ליבה של Windows לעיבוד HTML ותוכן אחר המבוסס על דפדפן. הרכיב הוא לא רק חלק מדפדפנים אלא גם ביישומים כמו Microsoft Office, Outlook, Teams ו-Skype, אמר ברין.
ג'ייסון קיקטה, CISO ב-Automox, מודגש CVE-2023-35618, באג העלאת הרשאות בדפדפן Edge מבוסס Chromium של מיקרוסופט, כבעיה שארגונים צריכים למתן על בסיס עדיפות. "הפגיעות הזו מדורגת כחומרה בינונית, אבל אין להתעלם ממנה", אמר Kikta. "זה עלול להוביל לבריחת ארגז חול של הדפדפן, ולהפוך את סביבת הגלישה הבטוחה בדרך כלל של Microsoft Edge לסיכון פוטנציאלי."
מיקרוסופט עצמה נתנה לבאג דירוג חומרת CVSS של 9.6 מתוך 10 מקסימום אפשרי. במקביל, החברה העריכה את הפגם כבעיית פגיעות בדרגת חומרה בלבד בגלל כמות האינטראקציה של המשתמש והתנאים המוקדמים הנדרשים לתוקף כדי להיות מסוגל לנצל אותו.
שתיים מתוך שבע פגיעויות ביצוע קוד מרחוק בעדכון דצמבר 2023 משפיעות על התכונה שיתוף חיבור לאינטרנט (ICS) ב-Windows. שתי נקודות התורפה - CVE-2023-35641 ו CVE-2023-35630 - בעלי ציון CVSS זהה של 8.8, אם כי מיקרוסופט זיהתה רק את הראשון כנקודת תורפה שתוקפים נוטים יותר לכוון אליה.
"החולשות הללו חולקות מאפיינים דומים, כולל וקטור התקפה סמוך, מורכבות נמוכה, דרישות הרשאות נמוכות וללא צורך באינטראקציה עם המשתמש", אמר מייק וולטרס, נשיא ומייסד שותף של Action1. "היקף ההתקפות הללו מוגבל למערכות באותו מקטע רשת כמו התוקף, כלומר לא ניתן לבצען על פני מספר רשתות, כגון WAN."
שתי נקודות תורפה נוספות שלפי חוקרי אבטחה ראויות לתשומת לב הן CVE-2023-35636, פגם בחשיפת מידע ב-Outlook, וכן CVE-2023-36696, פגיעות העלאת הרשאות במנהל התקן מסנן מיני של Windows Cloud Files.
עבאסי אומר ש-CVE-2023-35636 מעניין מכיוון שהוא לא גורם לבעיות כאשר משתמש צופה בהודעות דוא"ל. אבל אם נעשה בו שימוש לרעה, זה יכול לחשוף חשישי NTLM שהאקרים יכולים להשתמש בהם כדי להעמיד פנים שהם משתמשים אחרים ולהיכנס עמוק יותר לרשת של חברה, הוא מוסיף.
ירידה קלה משנה לשנה
Satnam Narang, מהנדס מחקר בכיר ב-Tenable, תיאר את הפגיעות של Mini Filter Drive כמשהו שתוקף יכול לנצל לאחר פשרה כדי להעלות הרשאות. הבאג הוא הפגיעות השישית כזו שמיקרוסופט חשפה במנהל ההתקן הזה, אמר.
"בשנת 2023, מיקרוסופט תיקנה 909 CVEs, א ירידה קלה של 0.87% מ-2022, שראתה את תיקון 917 CVE של מיקרוסופט", אמר נראנג. מתוכם, 23 היו פגיעויות של יום אפס שתוקפים ניצלו באופן פעיל בזמן שמיקרוסופט חשפה והנפיקה עבורם תיקון. יותר ממחצית מהימים האפסים היו נקודות תורפה של העלאת הרשאות, הוא אמר.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/vulnerabilities-threats/microsoft-gives-admins-a-reprieve-with-lighter-than-usual-patch-update
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 1
- 10
- 2023
- 23
- 36
- 7
- 8
- 9
- a
- יכול
- התעללות
- לרוחב
- באופן פעיל
- שחקנים
- כתובת
- מוסיף
- סמוך
- יתרון
- להשפיע על
- מוסכם
- כמעט
- גם
- AMD
- כמות
- an
- ו
- כל אחד
- יישומים
- ARE
- AS
- מוֹעֳרָך
- At
- לתקוף
- המתקפות
- תשומת לב
- זמין
- בסיס
- BE
- כי
- לפני
- להיות
- שניהם
- הפרה
- לשבור
- דפדפן
- דפדפנים
- דפדוף
- חרק
- באגים
- אבל
- CAN
- לא יכול
- מקרים
- קטגוריה
- לגרום
- גורמים
- לאתגר
- מאפיינים
- CISO
- ענן
- מייסד שותף
- קוד
- חברה
- מורכבות
- רְכִיב
- מנוהל
- הקשר
- באופן עקבי
- להכיל
- הכלול
- מכיל
- תוכן
- ליבה
- יכול
- קריטי
- מסוכן
- ימים
- דֵצֶמבֶּר
- ירידה
- עמוק יותר
- דרישות
- לפרוס
- מְתוּאָר
- תיאור
- אחר
- חָרִיצוּת
- מְנַהֵל
- חשיפה
- לא איכפת
- לא
- הורדות
- נהיגה
- נהג
- מוקדם יותר
- מוקדם
- קל
- אדג '
- הרם
- אחד עשר
- אמייל
- מיילים
- מאפשר
- מהנדס
- סביבה
- באותה מידה
- הסלמה
- לברוח
- במיוחד
- אֲפִילוּ
- כל
- הוצאת להורג
- לנצל
- ומנוצל
- מנצל
- עובדה
- מאפיין
- פחות
- קבצים
- לסנן
- תיקוני
- פגם
- פגמים
- תזרים
- בעד
- לשעבר
- ארבע
- החל מ-
- לְהַשִׂיג
- כנופיות
- נתן
- לקבל
- מתנה
- נתן
- נותן
- זכוכית
- האקרים
- היה
- חצי
- מטפל
- קורה
- יש
- he
- מודגש
- מאוד
- חַג
- איך
- HTML
- HTTPS
- זהה
- מזוהה
- if
- מיידי
- immersive
- חשוב
- in
- לכלול
- כלול
- כולל
- מידע
- אינטראקציה
- מעניין
- אינטרנט
- חיבור לאינטרנט
- אל תוך
- סוגיה
- הפיקו
- בעיות
- IT
- עצמו
- jpg
- רק
- מעבדות
- האחרון
- עוֹפֶרֶת
- כמו
- סביר
- נמוך
- להוריד
- מנהל
- מקסימום
- מאי..
- אומר
- משמעות
- מיקרוסופט
- אדג מיקרוסופט
- מייק
- להקל
- אחת לחודש
- חודשים
- יותר
- רוב
- מספר
- צורך
- נחוץ
- רשת
- רשתות
- חדש
- לא
- ללא חתימה
- בדרך כלל
- מספר
- of
- Office
- on
- ONE
- רק
- or
- ארגונים
- אחר
- הַחוּצָה
- Outlook
- יותר
- זגוגית
- חלק
- תיקון
- תיקון יום שלישי
- טלאים
- נתפס
- הרשאות
- שלב
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- אפשרי
- פוטנציאל
- פוטנציאל
- תחזית
- נשיא
- תצוגה מקדימה
- תצוגה מקדימה
- תיעדוף
- עדיפות
- זְכוּת
- הרשאות
- בעיה
- בעיות
- בפומבי
- מהירות
- דרגות
- ransomware
- מדורג
- דירוג
- טעם
- לאחרונה
- יחסית
- שוחרר
- מרחוק
- טיוח
- דווח
- נדרש
- דרישות
- דורש
- מחקר
- חוקרים
- עתודות
- תגובה
- REST
- הסיכון
- s
- בטוח
- אמר
- אותו
- ארגז חול
- ראה
- אומר
- סולם
- היקף
- ציון
- עונתי
- שְׁנִיָה
- אבטחה
- נראה
- קטע
- לחצני מצוקה לפנסיונרים
- שבע
- שיתוף
- שיתוף
- צריך
- הופעות
- משמעותי
- דומה
- ו
- סקייפ
- מעט שונה
- קטן
- משהו
- בקרוב
- מתוחכם
- סגל
- ניכר
- בהצלחה
- כזה
- בטוח
- מערכות
- לקחת
- לוקח
- יעד
- צוותי
- טכניקות
- מֵאֲשֶׁר
- זֶה
- השמיים
- אותם
- אלה
- הֵם
- שְׁלִישִׁי
- זֶה
- השנה
- אם כי?
- איום
- איום שחקנים
- איומים
- זמן
- ל
- כלים
- סה"כ
- הפיכה
- לנסות
- יום שלישי
- בניגוד
- עדכון
- להשתמש
- משתמש
- משתמשים
- כרגיל
- בְּדֶרֶך כְּלַל
- צפייה
- פגיעויות
- פגיעות
- היו
- מה
- מתי
- אשר
- בר
- יצטרך
- חלונות
- יַיִן
- עם
- ראוי
- שנה
- זפירנט
- פגיעות של יום אפס