מיקרוסופט חושפת 5 אפס ימים בעדכון אבטחה עצום ביולי

מיקרוסופט חושפת 5 אפס ימים בעדכון אבטחה עצום ביולי

חותמת זמן: 11 ביולי 2023 6:16
מיקרוסופט חושפת 5 אפס ימים ביולי עדכון אבטחה נרחב של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

של מיקרוסופט עדכון אבטחה ביולי מכיל תיקונים עבור עצום של 130 פגיעויות ייחודיות, חמש מהן התוקפים כבר מנצלים באופן פעיל בטבע.

החברה דירגה תשעה מהפגמים כבעלי חומרה קריטית ו-121 מהם כחומרה בינונית או חשובה. הפגיעויות משפיעות על מגוון רחב של מוצרי מיקרוסופט כולל Windows, Office, .Net, Azure Active Directory, מנהלי מדפסות, שרת DMS ושולחן עבודה מרוחק. העדכון הכיל את התמהיל הרגיל של פגמים בביצוע קוד מרחוק (RCE), בעיות עקיפת אבטחה והסלמה של הרשאות, באגים בחשיפת מידע ופגיעויות של מניעת שירות.

"נפח התיקונים הזה הוא הגבוה ביותר שראינו בשנים האחרונות, למרות שהוא"זה לא יוצא דופן לראות את מיקרוסופט שולחת מספר רב של תיקונים ממש לפני ועידת Black Hat USA", אמר דסטין צ'יילדס, חוקר אבטחה ביוזמת Zero Day של Trend Micro (ZDI), בפוסט בבלוג.

מנקודת מבט של תעדוף תיקון, חמשת ימי האפס שמיקרוסופט חשפה השבוע זוכים לתשומת לב מיידית, לפי חוקרי אבטחה.

החמור מביניהם הוא CVE-2023-36884, באג של ביצוע קוד מרחוק (RCE) ב-Office וב-Windows HTML, שלמיקרוסופט לא היה תיקון עבורו בעדכון החודש. החברה זיהתה קבוצת איומים שהיא עוקבת אחריה, Storm-0978, כמנצלת את הפגם בקמפיין פישינג המכוון לארגוני ממשלה והגנה בצפון אמריקה ובאירופה.

הקמפיין כולל את גורם האיום שמפיץ דלת אחורית, המכונה RomCom, באמצעות מסמכי Windows עם נושאים הקשורים לקונגרס העולמי האוקראיני. "סערה-0978"המבצעים הממוקדים של השפיעו על ארגונים ממשלתיים וצבאיים בעיקר באוקראינה, כמו גם ארגונים באירופה ובצפון אמריקה שעלולים להיות מעורבים בענייני אוקראינה". כך אמרה מיקרוסופט בבלוג פוסט שליווה את עדכון האבטחה של יולי. "התקפות תוכנות כופר מזוהות השפיעו בין היתר על תעשיות הטלקומוניקציה והפיננסים."

דסטין צ'יילדס, חוקר נוסף ב-ZDI, הזהיר ארגונים להתייחס ל-CVE-2023-36884 כבעיית אבטחה "קריטית" למרות שמיקרוסופט עצמה העריכה אותו כבאג "חשוב" פחות חמור יחסית. "מיקרוסופט נקטה בפעולה המוזרה של שחרור ה-CVE הזה לְלֹא תיקון. זֶה"עדיין לבוא", כתב צ'יילדס בפוסט בבלוג. "ברור, שם"לניצול הזה יש הרבה יותר ממה שנאמר."

שתיים מתוך חמש נקודות התורפה המנוצלות באופן פעיל הן פגמי עקיפת אבטחה. אחד משפיע על Microsoft Outlook (CVE-2023-35311) והשני כולל Windows SmartScreen (CVE-2023-32049). שתי הפגיעויות דורשות אינטראקציה של משתמשים, כלומר תוקף יוכל לנצל אותן רק על ידי שכנוע של משתמש ללחוץ על כתובת URL זדונית. עם CVE-2023-32049, תוקף יוכל לעקוף את ההנחיה פתח קובץ – אזהרת אבטחה, בעוד ש-CVE-2023-35311 נותן לתוקפים דרך להגניב את התקפתם באמצעות הודעת הודעת האבטחה של Microsoft Outlook.

"חשוב לציין [CVE-2023-35311] מאפשר באופן ספציפי לעקוף את תכונות האבטחה של Microsoft Outlook ואינו מאפשר ביצוע קוד מרחוק או הסלמה של הרשאות", אמר מייק וולטרס, סגן נשיא לחקר פגיעות ואיומים ב-Action1. "לכן, התוקפים צפויים לשלב את זה עם ניצולים אחרים להתקפה מקיפה. הפגיעות משפיעה על כל הגרסאות של Microsoft Outlook משנת 2013 ואילך", הוא ציין באימייל ל-Dark Reading.

קב ברין, מנהל מחקר איומי סייבר במעבדות Immersive, העריך את מעקף האבטחה האחר ביום אפס - CVE-2023-32049 - כבאג נוסף שסביר להניח ששחקני איומים ישתמשו בו כחלק משרשרת תקיפה רחבה יותר.

שני ימי האפס האחרים במערך התיקונים האחרון של מיקרוסופט מאפשרים שניהם הסלמה של הרשאות. חוקרים בקבוצת ניתוח האיומים של גוגל גילו אחד מהם. הפגם, במעקב כמו CVE-2023-36874, היא בעיית העלאת הרשאות בשירות Windows Error Reporting (WER) שנותנת לתוקפים דרך להשיג זכויות ניהול במערכות פגיעות. תוקף יזדקק לגישה מקומית למערכת מושפעת כדי לנצל את הפגם, שאותו הם יכולים להשיג באמצעות ניצול אחר או באמצעות שימוש לרעה באישורים.

"שירות WER הוא תכונה במערכות ההפעלה של Microsoft Windows האוספת ושולחת דוחות שגיאה אוטומטית למיקרוסופט כאשר תוכנה מסוימת קורסת או נתקלת בסוגים אחרים של שגיאות", אמר טום בוייר, חוקר אבטחה ב-Automox. "החולשה הזו של יום אפס מנוצלת באופן פעיל, אז אם הארגון שלך משתמש ב-WER, אנו ממליצים לבצע תיקון תוך 24 שעות", אמר.

הבאג הנוסף של העלאת הרשאות בעדכון האבטחה של יולי שתוקפים כבר מנצלים באופן פעיל הוא CVE-2023-32046 בפלטפורמת Windows MSHTM של מיקרוסופט, הלא היא מנוע העיבוד של הדפדפן "Trident". כמו באגים רבים אחרים, גם זה דורש רמה מסוימת של אינטראקציה עם המשתמש. בתרחיש של התקפת דואר אלקטרוני כדי לנצל את הבאג, תוקף יצטרך לשלוח למשתמש ממוקד קובץ בעל מבנה מיוחד ולגרום למשתמש לפתוח אותו. בהתקפה מבוססת אינטרנט, תוקף יצטרך לארח אתר זדוני - או להשתמש באתר שנפגע - כדי לארח קובץ בעל מבנה מיוחד ואז לשכנע קורבן לפתוח אותו, אמרה מיקרוסופט.

RCEs בניתוב Windows, שירות גישה מרחוק

חוקרי אבטחה הצביעו על שלוש פגיעויות RCE בשירות הניתוב והגישה מרחוק של Windows (RRAS) (CVE-2023-35365, CVE-2023-35366, ו CVE-2023-35367) ראוי לתשומת לב עדיפות ככל. מיקרוסופט העריכה את כל שלוש הפגיעויות כקריטיות ולשלושה יש ציון CVSS של 9.8. השירות אינו זמין כברירת מחדל ב-Windows Server ובעצם מאפשר למחשבים המריצים את מערכת ההפעלה לתפקד כנתבים, שרתי VPN ושרתי חיוג, אמר Bowyer של Automox. "תוקף מצליח יכול לשנות תצורות רשת, לגנוב נתונים, לעבור למערכות אחרות קריטיות/חשובות יותר, או ליצור חשבונות נוספים לגישה מתמשכת למכשיר."

פגמים בשרת SharePoint

העדכון הענק של מיקרוסופט ליולי הכיל תיקונים עבור ארבע פרצות RCE בשרת SharePoint, שהפך לאחרונה ליעד תוקף פופולרי. מיקרוסופט דירגה שניים מהבאגים כ"חשובים" (CVE-2023-33134 ו CVE-2023-33159) והשניים האחרים כ"קריטיים" (CVE-2023-33157 ו CVE-2023-33160). "כולם דורשים מהתוקף לעבור אימות או מהמשתמש לבצע פעולה שלמרבה המזל מפחיתה את הסיכון לפריצה", אמר יואב אילין, חוקר בכיר בסילברפורט. "למרות זאת, מכיוון ש-SharePoint יכול להכיל נתונים רגישים ובדרך כלל חשוף מחוץ לארגון, מי שמשתמש בגרסאות המקומיות או ההיברידיות צריך לעדכן."

ארגונים שצריכים לציית לתקנות כגון FEDRAMP, PCI, HIPAA, SOC2 ותקנות דומות צריכים לשים לב ל CVE-2023-35332: פגם בעקיפה של פרוטוקול שולחן העבודה המרוחק של Windows, אמר דור דאלי, ראש מחקר ב-Cyolo. לדבריו, הפגיעות קשורה לשימוש בפרוטוקולים מיושנים ויוצאים משימוש, כולל Datagram Transport Layer Security (DTLS) גרסה 1.0, המציגה סיכון אבטחה ותאימות משמעותי לארגונים. במצבים שבהם ארגון אינו יכול לעדכן באופן מיידי, עליו להשבית את תמיכת UDP בשער RDP, אמר.

בנוסף, מיקרוסופט פרסם היידוע על חקירתה על דיווחים אחרונים על גורמי איומים המשתמשים בנהגים המוסמכים תחת Microsoft"s Windows Hardware Developer Program (MWHDP) בפעילות לאחר ניצול.

בול זמן:

עוד מ קריאה אפלה