Microsoft avslører 5 Zero-Days i omfangsrik sikkerhetsoppdatering for juli

Microsofts Sikkerhetsoppdatering i juli inneholder rettinger for hele 130 unike sårbarheter, hvorav fem angripere allerede aktivt utnytter i naturen.

Selskapet vurderte ni av feilene til å være av kritisk alvorlighetsgrad og 121 av dem som moderate eller viktige. Sårbarhetene påvirker et bredt spekter av Microsoft-produkter, inkludert Windows, Office, .Net, Azure Active Directory, skriverdrivere, DMS-server og eksternt skrivebord. Oppdateringen inneholdt den vanlige blandingen av RCE-feil (Remote Code execution), sikkerhetsbypass- og rettighetseskaleringsproblemer, informasjonsavsløringsfeil og sikkerhetsproblemer.

"Dette volumet av reparasjoner er det høyeste vi har sett de siste årene, selv om det er det'Det er ikke uvanlig å se Microsoft sende et stort antall patcher rett før Black Hat USA-konferansen,” sa Dustin Childs, sikkerhetsforsker ved Trend Micros Zero Day Initiative (ZDI), i et blogginnlegg.

Fra et patch-prioriteringssynspunkt fortjener de fem null-dagene som Microsoft avslørte denne uken umiddelbar oppmerksomhet, ifølge sikkerhetsforskere.

Den mest alvorlige av dem er CVE-2023-36884, en RCE-feil (Remote Code execution) i Office og Windows HTML, som Microsoft ikke hadde en oppdatering for i denne månedens oppdatering. Selskapet identifiserte en trusselgruppe det sporer, Storm-0978, som utnytter feilen i en phishing-kampanje rettet mot myndigheter og forsvarsorganisasjoner i Nord-Amerika og Europa.

Kampanjen innebærer at trusselaktøren distribuerer en bakdør, kalt RomCom, via Windows-dokumenter med temaer knyttet til den ukrainske verdenskongressen. "Storm-0978's målrettede operasjoner har påvirket regjeringen og militære organisasjoner primært i Ukraina, så vel som organisasjoner i Europa og Nord-Amerika som potensielt er involvert i ukrainske anliggender. Microsoft sa i en blogg innlegg som fulgte med sikkerhetsoppdateringen fra juli. "Identifisert løsepengevare-angrep har påvirket blant annet telekommunikasjons- og finansindustrien."

Dustin Childs, en annen forsker ved ZDI, advarte organisasjoner om å behandle CVE-2023-36884 som et "kritisk" sikkerhetsproblem, selv om Microsoft selv har vurdert det som en relativt mindre alvorlig, "viktig" feil. "Microsoft har tatt den merkelige handlingen å gi ut denne CVE uten en lapp. At'det kommer fortsatt», skrev Childs i et blogginnlegg. «Det er klart, der'Det er mye mer for denne utnyttelsen enn det som blir sagt."

To av de fem sårbarhetene som blir aktivt utnyttet er sikkerhetsbypass-feil. En påvirker Microsoft Outlook (CVE-2023-35311) og den andre involverer Windows SmartScreen (CVE-2023-32049). Begge sårbarhetene krever brukerinteraksjon, noe som betyr at en angriper bare vil kunne utnytte dem ved å overbevise en bruker om å klikke på en ondsinnet URL. Med CVE-2023-32049 vil en angriper være i stand til å omgå Open File – Security Warning-ledeteksten, mens CVE-2023-35311 gir angripere en måte å snike angrepet ved hjelp av Microsoft Outlook Security Notice-forespørselen.

"Det er viktig å merke seg at [CVE-2023-35311] spesifikt tillater omgåelse av Microsoft Outlook-sikkerhetsfunksjoner og ikke muliggjør ekstern kjøring av kode eller rettighetseskalering," sa Mike Walters, visepresident for sårbarhets- og trusselforskning ved Action1. "Derfor vil angripere sannsynligvis kombinere det med andre utnyttelser for et omfattende angrep. Sårbarheten påvirker alle versjoner av Microsoft Outlook fra 2013 og utover», bemerket han i en e-post til Dark Reading.

Kev Breen, direktør for cybertrusselforskning ved Immersive Labs, vurderte den andre sikkerhetsomløpet null-dag - CVE-2023-32049 — som en annen feil som trusselaktører mest sannsynlig vil bruke som en del av en bredere angrepskjede.

De to andre null-dagene i Microsofts siste sett med oppdateringer muliggjør begge rettighetseskalering. Forskere ved Googles Threat Analysis Group oppdaget en av dem. Feilen, spores som CVE-2023-36874, er et problem med rettighetsheving i Windows Error Reporting-tjenesten (WER) som gir angripere en måte å få administrative rettigheter på sårbare systemer. En angriper vil trenge lokal tilgang til et berørt system for å utnytte feilen, som de kan oppnå via andre utnyttelser eller misbruk av legitimasjon.

"WER-tjenesten er en funksjon i Microsoft Windows-operativsystemer som automatisk samler inn og sender feilrapporter til Microsoft når viss programvare krasjer eller støter på andre typer feil," sa Tom Bowyer, en sikkerhetsforsker ved Automox. "Denne nulldagssårbarheten blir aktivt utnyttet, så hvis WER brukes av organisasjonen din, anbefaler vi å lappe innen 24 timer," sa han.

Den andre rettighetsfeilen i sikkerhetsoppdateringen fra juli som angripere allerede aktivt utnytter, er CVE-2023-32046 i Microsofts Windows MSHTM-plattform, også kalt «Trident»-nettlesergjengivelsesmotoren. Som med mange andre feil, krever også denne en viss grad av brukerinteraksjon. I et e-postangrepsscenario for å utnytte feilen, må en angriper sende en målrettet bruker en spesiallaget fil og få brukeren til å åpne den. I et nettbasert angrep må en angriper være vert for et ondsinnet nettsted – eller bruke et kompromittert – for å være vert for en spesiallaget fil og deretter overbevise et offer om å åpne den, sa Microsoft.

RCE-er i Windows-ruting, fjerntilgangstjeneste

Sikkerhetsforskere pekte på tre RCE-sårbarheter i Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366og CVE-2023-35367) som fortjener prioritert oppmerksomhet som alle andre. Microsoft har vurdert alle tre sårbarhetene som kritiske og alle tre har en CVSS-score på 9.8. Tjenesten er ikke tilgjengelig som standard på Windows Server og lar i utgangspunktet datamaskiner som kjører operativsystemet fungere som rutere, VPN-servere og oppringte servere, sa Automoxs Bowyer. "En vellykket angriper kan endre nettverkskonfigurasjoner, stjele data, flytte til andre mer kritiske/viktige systemer eller opprette flere kontoer for vedvarende tilgang til enheten."

SharePoint-serverfeil

Microsofts gigantiske julioppdatering inneholdt rettelser for fire RCE-sårbarheter i SharePoint-serveren, som har blitt et populært angripermål nylig. Microsoft vurderte to av feilene som "viktige" (CVE-2023-33134 og CVE-2023-33159) og de to andre som "kritiske" (CVE-2023-33157 og CVE-2023-33160). "Alle av dem krever at angriperen blir autentisert eller at brukeren utfører en handling som heldigvis reduserer risikoen for et brudd," sa Yoav Iellin, seniorforsker ved Silverfort. "Selv om SharePoint kan inneholde sensitive data og vanligvis blir eksponert fra utenfor organisasjonen, bør de som bruker lokale eller hybridversjoner oppdatere."

Organisasjoner som må overholde forskrifter som FEDRAMP, PCI, HIPAA, SOC2 og lignende forskrifter bør ta hensyn til CVE-2023-35332: en Windows Remote Desktop Protocol Security Feature Bypass-feil, sa Dor Dali, forskningssjef ved Cyolo. Sårbarheten har å gjøre med bruken av utdaterte og utdaterte protokoller, inkludert Datagram Transport Layer Security (DTLS) versjon 1.0, som utgjør en betydelig sikkerhets- og samsvarsrisiko for organisasjoner, sa han. I situasjoner der en organisasjon ikke umiddelbart kan oppdatere, bør de deaktivere UDP-støtte i RDP-porten, sa han.

I tillegg kommer Microsoft publiserte en rådgivende på sin undersøkelse av nylige rapporter om trusselaktører som bruker drivere sertifisert under Microsoft's Windows Hardware Developer Program (MWHDP) i aktivitet etter utnyttelse.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
• kilde: https://www.darkreading.com/application-security/microsoft-discloses–zero-days-in-voluminous-july-security-update