Microsofts planlagte Patch Tuesday-sikkerhetsoppdatering for februar inkluderer reparasjoner for to nulldagers sikkerhetssårbarheter under aktivt angrep, pluss 71 andre feil på tvers av et bredt spekter av produktene.
I alt ble fem av sårbarhetene som Microsoft utstedte en oppdatering i februar vurdert som kritiske, 66 som viktige og to som moderate.
De oppdateringen inkluderer patcher for Microsoft Office, Windows, Microsoft Exchange Server, selskapets Chromium-baserte Edge-nettleser, Azure Active Directory, Microsoft Defender for Endpoint og Skype for business. Tenable identifiserte 30 av de 73 CVE-ene som sårbarheter for ekstern kjøring av kode (RCE); 16 som muliggjør privilegieeskalering; 10 knyttet til falske feil; ni som muliggjør distribuerte denial-of-service-angrep; fem som informasjon avsløring feil; og tre som sikkerhetsbypass-problemer.
Vann Hydra utnytter Zero-Days rettet mot finanshandlere
En trusselaktør kalt Water Hydra (aka Dark Casino) utnytter for tiden en av nulldagssårbarhetene – en Internet Shortcut Files sikkerhetsfunksjon omgår sårbarhet spores som CVE-2024-21412 (CVSS 8.1) — i en ondsinnet kampanje rettet mot organisasjoner i finanssektoren.
Forskere ved Trend Micro – blant flere som oppdaget og rapporterte feilen til Microsoft – beskrev den som knyttet til en forbikjøring av en tidligere lappet SmartScreen-sårbarhet (CVE-2023-36025, CVSS 8.8) og påvirker alle støttede Windows-versjoner. Water Hydra-aktører bruker CVE-2024-21412 for å få innledende tilgang til systemer som tilhører finanshandlere og slippe DarkMe-trojaneren for ekstern tilgang på dem.
For å utnytte sårbarheten, må en angriper først levere en ondsinnet fil til en målrettet bruker og få dem til å åpne den, sa Saeed Abbasi, leder for sårbarhetsforsker ved Qualys, i en e-postkommentar. "Effekten av denne sårbarheten er dyp, kompromitterer sikkerheten og undergraver tilliten til beskyttelsesmekanismer som SmartScreen," sa Abbasi.
SmartScreen Bypass Zero-Day
Den andre nulldagen som Microsoft avslørte i denne månedens sikkerhetsoppdatering påvirker Defender SmartScreen. Ifølge Microsoft, CVE-2024-21351 er en middels alvorlig feil som lar en angriper omgå SmartScreen-beskyttelse og injisere kode i den for å potensielt få funksjoner for ekstern kjøring av kode. En vellykket utnyttelse kan føre til begrenset dataeksponering, problemer med systemtilgjengelighet eller begge deler, sa Microsoft. Ingen detaljer er tilgjengelige om hvem som kan utnytte feilen og til hvilket formål.
I forberedte kommentarer for Dark Reading sa Mike Walters, president og medgründer av Action1, at sårbarheten er knyttet til måten Microsofts Mark of the Web (en funksjon for å identifisere upålitelig innhold fra Internett) samhandler med SmartScreen-funksjonen på. "For dette sikkerhetsproblemet må en angriper distribuere en ondsinnet fil til en bruker og overtale dem til å åpne den, slik at de kan omgå SmartScreen-kontrollene og potensielt kompromittere systemets sikkerhet," sa Walters.
Høyprioriterte feil
Blant de fem kritiske sårbarhetene i februaroppdateringen er den som krever prioritert oppmerksomhet CVE-2024-21410, en privilegieeskaleringssårbarhet i Exchange Server, et favorittmål for angripere. En angriper kan bruke feilen til å avsløre en målrettet brukers Net-New Technology LAN Manager (NTLM) versjon 2-hash og deretter videresende denne legitimasjonen mot en berørt Exchange Server og autentisere den som brukeren.
Feil som dette som avslører sensitiv informasjon som NTLM-hasher kan være svært verdifulle for angripere, sa Satnam Narang, senior forskningsingeniør ved Tenable i en uttalelse. "En russisk-basert trusselaktør utnyttet en lignende sårbarhet for å utføre angrep - CVE-2023-23397 er en Elevation of Privilege-sårbarhet i Microsoft Outlook som ble oppdatering i mars 2023," sa han.
For å rette opp feilen, må Exchange-administratorer sørge for at de har installert Exchange Server 2019 Cumulative Update 14 (CU14)-oppdatering og sikre at funksjonen Extended Protection for Authentication (EPA) er aktivert, sa Trend Micro. Sikkerhetsleverandøren pekte på en artikkel som Microsoft har publisert som gir tilleggsinformasjon om hvordan du retter opp sikkerhetsproblemet.
Microsoft har tildelt CVE-2024-21410 en maksimal alvorlighetsgrad på 9.1 av 10, noe som gjør det til et kritisk sikkerhetsproblem. Men typiske privilegieeskaleringssårbarheter har en tendens til å skåre relativt lavt på CVSS-sårbarhetsvurderingsskalaen som motsier den sanne naturen til trusselen de presenterer, sa Kev Breen, seniordirektør for trusselforskning ved Immersive Labs. "Til tross for deres lave poengsum, er sårbarheter [eskalering av privilegier] svært ettertraktet av trusselaktører og brukt i nesten alle cyberhendelser," sa Breen i en uttalelse. "Når en angriper har tilgang til en brukerkonto gjennom sosial utvikling eller et annet angrep, vil de neste forsøke å eskalere tillatelsene sine enten til lokal administrator eller domeneadministrator."
Walters fra Action1 fremhevet CVE-2024-21413, en RCE-feil i Microsoft Outlook som en sårbarhet som administratorer kanskje vil prioritere fra februars batch. Den kritiske alvorlighetsfeilen med en nesten maksimal alvorlighetsgrad på 9.8 innebærer lav angrepskompleksitet, ingen brukerinteraksjon og ingen spesielle privilegier som kreves for at en angriper skal kunne utnytte den. "En angriper kan utnytte denne sårbarheten via forhåndsvisningsruten i Outlook, slik at de kan omgå Office Protected View og tvinge filer til å åpne i redigeringsmodus, i stedet for i tryggere beskyttet modus," sa Walters.
Microsoft identifiserte selv sårbarheten som noe angripere er mindre tilbøyelige til å angripe. Likevel sa Walters at sårbarheten utgjør en betydelig trussel for organisasjoner og krever umiddelbar oppmerksomhet.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/vulnerabilities-threats/attackers-exploit-microsoft-security-bypass-zero-day-bugs
- : har
- :er
- 1
- 10
- 14
- 16
- 2019
- 2023
- 30
- 66
- 7
- 8
- 9
- a
- adgang
- Ifølge
- Logg inn
- tvers
- aktiv
- aktører
- Ytterligere
- Tilleggsinformasjon
- admin
- administratorer
- påvirkes
- påvirker
- Etter
- mot
- aka
- Alle
- tillate
- tillater
- nesten
- blant
- an
- og
- ER
- AS
- tildelt
- At
- angripe
- angriper
- Angrep
- oppmerksomhet
- godkjenne
- Autentisering
- tilgjengelighet
- tilgjengelig
- Azure
- BE
- tilhørighet
- både
- nett~~POS=TRUNC leseren~~POS=HEADCOMP
- Bug
- bugs
- virksomhet
- men
- by
- bypass
- Kampanje
- CAN
- evner
- bære
- Kasino
- Sjekker
- omgå
- Med-grunnlegger
- kode
- kommentaren
- kommentarer
- Selskapet
- kompleksitet
- kompromiss
- kompromittere
- innhold
- kunne
- KREDENSISJON
- kritisk
- I dag
- cyber
- mørk
- Mørk lesning
- dato
- leverer
- beskrevet
- Til tross for
- detaljer
- Regissør
- katalog
- Avsløre
- avsløring
- oppdaget
- distribuere
- distribueres
- domene
- Drop
- dubbet
- Edge
- enten
- aktivert
- muliggjør
- Endpoint
- ingeniør
- Ingeniørarbeid
- sikre
- EPA
- feil
- eskalere
- eskalering
- Hver
- nøyaktig
- utveksling
- gjennomføring
- Exploit
- utnytte
- exploits
- Eksponering
- utvidet
- Favoritt
- Trekk
- Februar
- filet
- Filer
- finansiell
- Finansiell sektor
- Først
- fem
- reparasjoner
- feil
- feil
- Til
- Tving
- fra
- Gevinst
- få
- hash
- Ha
- he
- Fremhevet
- svært
- Hvordan
- Hvordan
- HTTPS
- identifisert
- identifisering
- oppslukende
- Påvirkning
- viktig
- in
- hendelse
- inkluderer
- informasjon
- innledende
- injisere
- installerte
- interaksjon
- interaktiv
- Internet
- inn
- innebærer
- Utstedt
- saker
- IT
- DET ER
- selv
- jpg
- Labs
- føre
- mindre
- utnyttet
- utnytte
- i likhet med
- Sannsynlig
- Begrenset
- lokal
- Lav
- GJØR AT
- skadelig
- leder
- måte
- Mars
- merke
- maksimal
- mekanismer
- micro
- Microsoft
- kunne
- mike
- Mote
- moderat
- Måned
- må
- Natur
- Nær
- Trenger
- likevel
- neste
- ni
- Nei.
- of
- Office
- on
- gang
- ONE
- åpen
- or
- organisasjoner
- Annen
- ut
- Outlook
- brød
- patch
- Patch tirsdag
- tillatelser
- plato
- Platon Data Intelligence
- PlatonData
- i tillegg til
- positurer
- potensielt
- forberedt
- presentere
- president
- Forhåndsvisning
- tidligere
- Prioriter
- prioritet
- privilegium
- privilegier
- Produkter
- dyp
- beskyttet
- beskyttelse
- Beskyttende
- gir
- formål
- område
- karakter
- heller
- vurdering
- Lesning
- relativt
- fjernkontroll
- fjerntilgang
- rapportert
- påkrevd
- Krever
- forskning
- forsker
- s
- sikrere
- Sa
- Skala
- planlagt
- Resultat
- sektor
- sikkerhet
- Søke
- senior
- sensitive
- server
- flere
- lignende
- Skype
- selskap
- Sosialteknikk
- noen
- noe
- ettertraktet
- spesiell
- Sponset
- Staff
- Uttalelse
- betydelig
- vellykket
- Støttes
- system
- Systemer
- Target
- målrettet
- rettet mot
- Teknologi
- tendens
- enn
- Det
- De
- deres
- Dem
- deretter
- de
- denne
- trussel
- trusselaktører
- tre
- Gjennom
- Tied
- til
- Traders
- Trend
- Trojan
- sant
- Stol
- tirsdag
- to
- typisk
- etter
- Oppdater
- bruke
- brukt
- Bruker
- ved hjelp av
- Verdifull
- leverandør
- versjon
- versjoner
- veldig
- av
- Se
- Sikkerhetsproblemer
- sårbarhet
- ønsker
- Vann
- web
- var
- Hva
- hvilken
- HVEM
- bred
- Bred rekkevidde
- vil
- vinduer
- med
- ville
- zephyrnet
- nulldagers sårbarheter