Zespoły IT powinny priorytetowo potraktować załatanie dwóch luk typu zero-day, jednej w mechanizmie uwierzytelniania programu Microsoft Outlook, a drugiej stanowiącej obejście znaku sieci Web, stwierdzili dziś eksperci ds. bezpieczeństwa. Obydwa stanowią część zbioru 74 błędów bezpieczeństwa, które Microsoft ujawnił w swojej marcowej aktualizacji zabezpieczeń we wtorek.
W poście na blogu zalecili to badacze z Automox organizacje łatają obie luki w ciągu 24 godzin ponieważ napastnicy wykorzystują je na wolności.
Ponadto kilka krytycznych błędów w marcowej aktualizacji umożliwia zdalne wykonanie kodu (RCE), co czyni je wysokim priorytetem również w przypadku łatania.
Dostawcy mieli nieco inne podejście do całkowitej liczby nowych krytycznych luk w zabezpieczeniach Marcowa aktualizacja Microsoftu — prawdopodobnie z powodu różnic w tym, co uwzględniono w obliczeniach. Na przykład w ramach inicjatywy Zero-Day Initiative (ZDI) firmy Trend Micro sześć luk w marcowej aktualizacji Microsoftu uznano za krytyczne, podczas gdy Tenable i Action1 ustaliły tę liczbę na dziewięć.
Eskalacja uprawnień w dniu zerowym
Jednym z dni zerowych jest krytyczna luka w zabezpieczeniach umożliwiająca eskalację uprawnień w programie Microsoft Outlook, śledzona jako CVE-2023-23397, która umożliwia atakującemu uzyskanie dostępu do skrótu uwierzytelniania Net-NTLMv2 typu wyzwanie-odpowiedź ofiary, a następnie podszywanie się pod użytkownika.
Tym, co czyni ten błąd niebezpiecznym, jest to, że osoba atakująca może go uruchomić, po prostu wysyłając specjalnie spreparowaną wiadomość e-mail, którą program Outlook pobiera i przetwarza, zanim użytkownik w ogóle wyświetli ją w okienku podglądu.
„Dzieje się tak, ponieważ luka jest wyzwalana po stronie serwera poczty e-mail, co oznacza, że do wykorzystania dojdzie, zanim ofiara wyświetli złośliwą wiadomość e-mail” – powiedział Satnam Narang, starszy inżynier ds. badań w firmie Tenable w komentarzu przesłanym pocztą elektroniczną. Osoba atakująca może wykorzystać skrót Net-NLMv2 ofiary do przeprowadzenia ataku wykorzystującego mechanizm wyzwanie-odpowiedź NTLM i umożliwiającego przeciwnikowi uwierzytelnienie się jako użytkownik.
To sprawia, że błąd jest bardziej luką polegającą na obejściu uwierzytelniania niż problemem eskalacji uprawnień, dodał badacz ZDI Dustin Childs w poście na blogu podsumowującym problem najważniejsze błędy w aktualizacji Microsoftu z marcową łatką we wtorek. Wyłączenie opcji okienka podglądu nie złagodzi zagrożenia, ponieważ błąd zostanie wyzwolony jeszcze wcześniej – napisał.
Microsoft przypisał odkrycie błędu badaczom z ukraińskiego zespołu reagowania na incydenty komputerowe (CERT), a także jednemu ze swoich badaczy.
Organizacje, które nie mogą natychmiast załatać CVE-2023-23397, powinny rozważyć wdrożenie opracowanego przez firmę Microsoft narzędzia łagodzącego lukę, która uniemożliwia użycie protokołu NTLM jako mechanizmu uwierzytelniania, stwierdził Automox.
Aktywnie wykorzystywana luka w obejściu funkcji zabezpieczeń
Microsoft zidentyfikował drugi błąd dnia zerowego jako CVE-2023-24880, problem z obejściem funkcji zabezpieczeń Windows SmartScreen, którego osoba atakująca może użyć do ominięcia Znak oznaczenia internetowego używany przez firmę Microsoft do identyfikowania plików, które użytkownik może pobrać z Internetu.
Ta funkcja ma na celu ostrzeganie użytkowników o potencjalnie niebezpiecznych treściach. CVE-2023-24880 wpływa na wszystkie komputery stacjonarne z systemem Windows 10 i nowszym oraz systemy z systemem Windows Server 2016, 2019 i 2022.
Chris Goettl, wiceprezes ds. produktów zabezpieczających w firmie Ivanti, przestrzegł administratorów, aby nie dali się zwieść pozornemu bezpieczeństwu ze względu na stosunkowo niską ocenę ważności luki przyznaną przez firmę Microsoft.
„Wynik CVSSv3.1 wynosi zaledwie 5.4, co może sprawić, że wiele organizacji nie zostanie zauważonych” – stwierdził Goettl w oświadczeniu. Sam CVE może nie być aż tak groźny, „ale prawdopodobnie został wykorzystany w łańcuchu ataków z dodatkowymi exploitami” – ostrzegł.
Inne błędy bezpieczeństwa o wysokim priorytecie łatania
Jedną z wad RCE, na którą należy zwrócić szczególną uwagę, jest CVE-2023-23415, który istnieje w protokole ICMP (Internet Control Message Protocol), którego urządzenia sieciowe używają do diagnozowania problemów z komunikacją.
„Osoba atakująca może zdalnie wykorzystać tę lukę, wykorzystując błąd protokołu niskiego poziomu zawierający w nagłówku pofragmentowany pakiet IP, który jest wysyłany do maszyny docelowej” – powiedział Microsoft. Luka dotyczy wielu produktów Microsoft, w tym Windows 10, Windows 11, Windows Server 2008, 2012, 2016, 2019 i 2022.
ZDI, Automox i Action1 również zidentyfikowały lukę RCE o niemal maksymalnym poziomie ważności 9.8 w skali CVSS w stosie protokołów HTTP jako kolejny problem, któremu organizacje mogą chcieć nadać priorytet.
Luka (CVE-2023-23392) umożliwia nieuwierzytelnionemu atakującemu wysłanie specjalnie spreparowanego pakietu do serwera korzystającego ze stosu protokołów HTTP prowadzącego do RCE. „Luka dotyczy systemów Windows Server 2022 i Windows 11 i charakteryzuje się niskim wektorem ataku, który nie wymaga żadnych uprawnień ani interakcji użytkownika” – ostrzegł Action1. Z tego powodu Microsoft ocenił tę lukę jako tę, którą ugrupowania zagrażające chętniej wykorzystują niż inne wady.
Firma Automox zaleciła również organizacjom zwrócenie się do tej kwestii CVE-2023-23416, błąd RCE w protokole Windows Cryptographic Services, w ciągu 72 godzin. Dzieje się tak między innymi dlatego, że dotyczy to wszystkich wersji komputerów stacjonarnych z systemem Windows 10 i nowszych oraz wszystkich wersji serwerowych Windows od wersji Server 2012.
Oprócz łatek nowych luk Microsoft w marcowym cyklu łat wydał także aktualizacje czterech starszych luk – wszystkie z 2022 r. Aktualizacja zwiększa liczbę oprogramowania i aplikacji firmy Microsoft dotkniętych lukami oraz zapewnia łatę dla nich, powiedział Ivanti. Dostawca zabezpieczeń zidentyfikował cztery zaktualizowane poprawki jako CVE-2022-43552, CVE-2022-23257, CVE-2022-23825, CVE-2022-23816.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://www.darkreading.com/vulnerabilities-threats/microsoft-zero-day-bugs-security-feature-bypass
- :Jest
- 1
- 10
- 11
- 2012
- 2016
- 2019
- 2022
- 7
- 8
- 9
- a
- O nas
- powyżej
- dostęp
- aktorzy
- w dodatku
- dodatek
- Dodatkowy
- adres
- Administratorzy
- Wszystkie kategorie
- pozwala
- wśród
- i
- Inne
- aplikacje
- SĄ
- AS
- oceniać
- At
- atakować
- uwierzytelniać
- Uwierzytelnianie
- BE
- bo
- zanim
- Blog
- Bug
- błędy
- by
- Cache
- CAN
- nie może
- łańcuch
- kod
- komentarz
- Komunikacja
- komputer
- Prowadzenie
- Rozważać
- zawartość
- kontrola
- mógłby
- krytyczny
- kryptograficzny
- cve
- cykl
- Niebezpieczny
- zaprojektowany
- stacjonarny
- urządzenia
- Różnice
- różne
- odkrycie
- pobieranie
- nagły wypadek
- umożliwiać
- inżynier
- błąd
- eskalacja
- Parzyste
- egzekucja
- istnieje
- rozszerza się
- eksperci
- Wykorzystać
- eksploatacja
- eksploatowany
- exploity
- Cecha
- Akta
- wada
- Skazy
- W razie zamówieenia projektu
- rozdrobniony
- od
- haszysz
- Wysoki
- GODZINY
- http
- HTTPS
- ICMP
- zidentyfikowane
- zidentyfikować
- natychmiast
- wykonawczych
- ważny
- in
- włączony
- Włącznie z
- inicjatywa
- przykład
- wzajemne oddziaływanie
- Internet
- IP
- problem
- Wydany
- problemy
- IT
- JEGO
- jpg
- prowadzący
- Prawdopodobnie
- niski
- maszyna
- robić
- WYKONUJE
- Dokonywanie
- wiele
- March
- znak
- maksymalny
- znaczenie
- mechanizm
- wiadomość
- Microsoft
- może
- Złagodzić
- łagodzenie
- jeszcze
- wielokrotność
- Blisko
- sieć
- Nowości
- numer
- of
- on
- ONE
- Option
- organizacji
- Inne
- Outlook
- własny
- chleb
- część
- Łata
- Łatki
- łatanie
- plato
- Analiza danych Platona
- PlatoDane
- Post
- potencjalnie
- prezydent
- Podgląd
- Priorytet
- priorytet
- przywileje
- procesów
- Produkty
- protokół
- zapewnia
- ocena
- Zalecana
- stosunkowo
- zdalny
- Wymaga
- Badania naukowe
- Badacze
- odpowiedź
- bieganie
- s
- Powiedział
- Skala
- druga
- bezpieczeństwo
- wysyłanie
- senior
- rozsądek
- Usługi
- kilka
- powinien
- bok
- po prostu
- ponieważ
- SIX
- trochę inny
- Tworzenie
- specjalny
- specjalnie
- stos
- Personel
- Zestawienie sprzedaży
- systemy
- trwa
- cel
- zespół
- Zespoły
- że
- Połączenia
- Im
- rzeczy
- groźba
- podmioty grożące
- Przez
- do
- już dziś
- Kwota produktów:
- Trend
- wyzwalać
- rozsierdzony
- Ukraina
- Aktualizacja
- zaktualizowane
- Nowości
- posługiwać się
- Użytkownik
- Użytkownicy
- sprzedawca
- Wiceprezes
- Ofiara
- widoki
- Luki w zabezpieczeniach
- wrażliwość
- sieć
- DOBRZE
- Co
- który
- Podczas
- Dziki
- będzie
- okna
- Okna 11
- w
- w ciągu
- by
- zefirnet
- błąd dnia zerowego
- podatności na zero dni
