Microsoft onthult 5 Zero-Days in omvangrijke beveiligingsupdate van juli

Microsoft onthult 5 Zero-Days in omvangrijke beveiligingsupdate van juli

Tijdstempel: 11 juli 2023 6:16 uur
Microsoft maakt 5 Zero-Days in omvangrijke juli-beveiligingsupdate PlatoBlockchain Data Intelligence bekend. Verticaal zoeken. Ai.

Microsoft's Beveiligingsupdate van juli bevat oplossingen voor maar liefst 130 unieke kwetsbaarheden, waarvan er vijf al actief worden misbruikt in het wild.

Het bedrijf beoordeelde negen van de gebreken als kritiek en 121 ervan als matig of ernstig. De kwetsbaarheden treffen een breed scala aan Microsoft-producten, waaronder Windows, Office, .Net, Azure Active Directory, Printer Drivers, DMS Server en Remote Desktop. De update bevatte de gebruikelijke mix van RCE-fouten (remote code execution), beveiligingsomzeiling en problemen met escalatie van bevoegdheden, bugs bij het vrijgeven van informatie en denial of service-kwetsbaarheden.

“Dit aantal fixes is het hoogste dat we de afgelopen jaren hebben gezien, hoewel het'Het is niet ongebruikelijk dat Microsoft vlak voor de Black Hat USA-conferentie een groot aantal patches verstuurt”, zegt Dustin Childs, beveiligingsonderzoeker bij Trend Micro's Zero Day Initiative (ZDI), in een blogpost.

Vanuit het oogpunt van patchprioritering verdienen de vijf zero-days die Microsoft deze week bekendmaakte volgens beveiligingsonderzoekers onmiddellijke aandacht.

De meest ernstige van hen is CVE-2023-36884, een RCE-bug (Remote Code Execution) in Office en Windows HTML, waarvoor Microsoft in de update van deze maand geen patch had. Het bedrijf identificeerde een dreigingsgroep die het volgt, Storm-0978, die misbruik maakte van de fout in een phishing-campagne gericht op overheids- en defensieorganisaties in Noord-Amerika en Europa.

De campagne bestaat uit het verspreiden van een backdoor, RomCom genaamd, via Windows-documenten met thema's die verband houden met het Oekraïense Wereldcongres. "Storm-0978's gerichte operaties hebben invloed gehad op regerings- en militaire organisaties, voornamelijk in Oekraïne, evenals op organisaties in Europa en Noord-Amerika die mogelijk betrokken zijn bij Oekraïense aangelegenheden. Microsoft zei in een blog bericht bij de beveiligingsupdate van juli. "Geïdentificeerde ransomware-aanvallen hebben onder andere gevolgen gehad voor de telecommunicatie- en financiële sector."

Dustin Childs, een andere onderzoeker bij ZDI, waarschuwde organisaties om CVE-2023-36884 als een "kritiek" beveiligingsprobleem te behandelen, ook al heeft Microsoft het zelf beoordeeld als een relatief minder ernstige, "belangrijke" bug. “Microsoft heeft de vreemde actie ondernomen om deze CVE vrij te geven zonder een pleister. Dat'het moet nog komen, 'schreef Childs in een blogpost. “Het is duidelijk, daar'er zit veel meer in deze exploit dan er wordt gezegd.

Twee van de vijf kwetsbaarheden die actief worden misbruikt, zijn tekortkomingen in het omzeilen van de beveiliging. De ene heeft invloed op Microsoft Outlook (CVE-2023-35311) en de andere betreft Windows SmartScreen (CVE-2023-32049). Beide kwetsbaarheden vereisen gebruikersinteractie, wat betekent dat een aanvaller ze alleen kan misbruiken door een gebruiker te overtuigen om op een kwaadaardige URL te klikken. Met CVE-2023-32049 zou een aanvaller de prompt Bestand openen - Beveiligingswaarschuwing kunnen omzeilen, terwijl CVE-2023-35311 aanvallers een manier biedt om stiekem aan te vallen via de Microsoft Outlook Security Notice-prompt.

"Het is belangrijk op te merken dat [CVE-2023-35311] specifiek het omzeilen van Microsoft Outlook-beveiligingsfuncties toestaat en geen externe code-uitvoering of privilege-escalatie mogelijk maakt", zegt Mike Walters, vice-president van onderzoek naar kwetsbaarheden en bedreigingen bij Action1. “Daarom zullen aanvallers het waarschijnlijk combineren met andere exploits voor een alomvattende aanval. De kwetsbaarheid treft alle versies van Microsoft Outlook vanaf 2013”, schreef hij in een e-mail aan Dark Reading.

Kev Breen, directeur cyberdreigingsonderzoek bij Immersive Labs, beoordeelde de andere zero-day-beveiligingsbypass - CVE-2023-32049 — als een andere bug die bedreigingsactoren hoogstwaarschijnlijk zullen gebruiken als onderdeel van een bredere aanvalsketen.

De twee andere zero-days in de nieuwste set patches van Microsoft maken beide privilege-escalatie mogelijk. Onderzoekers van de Threat Analysis Group van Google ontdekten er een. De fout, gevolgd als CVE-2023-36874, is een probleem met misbruik van bevoegdheden in de Windows Error Reporting (WER)-service waarmee aanvallers beheerdersrechten op kwetsbare systemen kunnen verkrijgen. Een aanvaller zou lokale toegang tot een getroffen systeem nodig hebben om de fout te misbruiken, die hij zou kunnen verkrijgen via andere exploits of via misbruik van inloggegevens.

"De WER-service is een functie in Microsoft Windows-besturingssystemen die automatisch foutrapporten verzamelt en naar Microsoft verzendt wanneer bepaalde software crasht of andere soorten fouten tegenkomt", zegt Tom Bowyer, een beveiligingsonderzoeker bij Automox. "Deze zero-day-kwetsbaarheid wordt actief misbruikt, dus als WER door uw organisatie wordt gebruikt, raden we aan om binnen 24 uur te patchen", zei hij.

De andere bug voor misbruik van bevoegdheden in de beveiligingsupdate van juli die aanvallers al actief misbruiken, is CVE-2023-32046 in het Windows MSHTM-platform van Microsoft, ook wel de "Trident" browser-rendering-engine genoemd. Zoals met veel andere bugs, vereist ook deze enige mate van gebruikersinteractie. In een e-mailaanvalscenario om de bug te misbruiken, zou een aanvaller een gerichte gebruiker een speciaal vervaardigd bestand moeten sturen en de gebruiker ertoe moeten brengen het te openen. Bij een webgebaseerde aanval moet een aanvaller een kwaadwillende website hosten - of een gecompromitteerde website gebruiken - om een ​​speciaal vervaardigd bestand te hosten en vervolgens een slachtoffer overtuigen om het te openen, aldus Microsoft.

RCE's in Windows Routing, Remote Access Service

Beveiligingsonderzoekers wezen op drie RCE-kwetsbaarheden in de Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366 en CVE-2023-35367) als prioriteit aandacht verdienen als alle. Microsoft heeft alle drie de kwetsbaarheden als kritiek beoordeeld en alle drie hebben ze een CVSS-score van 9.8. De service is niet standaard beschikbaar op Windows Server en stelt computers met het besturingssysteem in feite in staat om te functioneren als routers, VPN-servers en inbelservers, zei Automox's Bowyer. “Een succesvolle aanvaller kan netwerkconfiguraties wijzigen, gegevens stelen, naar andere, meer kritieke/belangrijke systemen gaan of extra accounts aanmaken voor blijvende toegang tot het apparaat."

Fouten in de SharePoint-server

De gigantische juli-update van Microsoft bevatte oplossingen voor vier RCE-kwetsbaarheden in de SharePoint-server, die onlangs een populair doelwit voor aanvallers is geworden. Microsoft beoordeelde twee van de bugs als "belangrijk" (CVE-2023-33134 en CVE-2023-33159) en de andere twee als "kritiek" (CVE-2023-33157 en CVE-2023-33160). "Allemaal vereisen ze dat de aanvaller wordt geverifieerd of dat de gebruiker een actie uitvoert die gelukkig het risico op een inbreuk verkleint", zegt Yoav Iellin, senior onderzoeker bij Silverfort. "Desalniettemin, aangezien SharePoint gevoelige gegevens kan bevatten en meestal van buiten de organisatie wordt vrijgegeven, moeten degenen die de on-premises of hybride versies gebruiken, updaten."

Organisaties die moeten voldoen aan regelgeving zoals FEDRAMP, PCI, HIPAA, SOC2 en soortgelijke regelgeving dienen aandacht te besteden aan CVE-2023-35332: een Windows Remote Desktop Protocol Security Feature Bypass-fout, zei Dor Dali, hoofd onderzoek bij Cyolo. De kwetsbaarheid heeft te maken met het gebruik van verouderde en verouderde protocollen, waaronder Datagram Transport Layer Security (DTLS) versie 1.0, die een aanzienlijk beveiligings- en nalevingsrisico vormt voor organisaties, zei hij. In situaties waarin een organisatie niet onmiddellijk kan updaten, moeten ze UDP-ondersteuning in de RDP-gateway uitschakelen, zei hij.

Daarnaast Microsoft publiceerde een advies op haar onderzoek naar recente rapporten over bedreigingsactoren die door Microsoft gecertificeerde stuurprogramma's gebruiken's Windows Hardware Developer Program (MWHDP) in post-exploit-activiteit.

Tijdstempel:

Meer van Donkere lezing