Zaplanowana przez firmę Microsoft aktualizacja zabezpieczeń typu Patch Tuesday na luty zawiera poprawki dwóch luk dnia zerowego będących przedmiotem aktywnego ataku oraz 71 innych luk w szerokiej gamie produktów firmy.
W sumie pięć luk, dla których Microsoft wydał lutową łatę, zostało ocenionych jako krytyczne, 66 jako ważne, a dwie jako umiarkowane.
Połączenia aktualizacja zawiera poprawki dla Microsoft Office, Windows, Microsoft Exchange Server, firmowej przeglądarki Edge opartej na Chromium, Azure Active Directory, Microsoft Defender for Endpoint i Skype dla firm. Tenable zidentyfikował 30 z 73 CVE jako luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu (RCE); 16 jako umożliwiające eskalację uprawnień; 10 jako powiązane z błędami fałszowania; dziewięć umożliwia rozproszone ataki typu „odmowa usługi”; pięć jako błędy w ujawnianiu informacji; i trzy jako problemy z obejściem zabezpieczeń.
Uzdatnianie wody Hydra wykorzystuje zasadę Zero-Day, atakując inwestorów finansowych
Ugrupowanie zagrażające zwane Water Hydra (znane również jako Dark Casino) wykorzystuje obecnie jedną z luk dnia zerowego — Funkcja zabezpieczeń internetowych plików skrótów pozwala ominąć lukę w zabezpieczeniach śledzone jako CVE-2024-21412 (CVSS 8.1) — w złośliwej kampanii wymierzonej w organizacje z sektora finansowego.
Badacze z firmy Trend Micro — wśród kilku osób, które odkryły tę lukę i zgłosiły ją firmie Microsoft — opisali ją jako powiązaną z obejściem wcześniej załatanej luki w zabezpieczeniach SmartScreen (CVE-2023-36025, CVSS 8.8) i wpływa na wszystkie obsługiwane wersje systemu Windows. Podmioty Water Hydra korzystają z CVE-2024-21412, aby uzyskać początkowy dostęp do systemów należących do traderów finansowych i upuścić na nich trojana zdalnego dostępu DarkMe.
Aby wykorzystać tę lukę, osoba atakująca musiałaby najpierw dostarczyć docelowemu użytkownikowi szkodliwy plik i nakłonić go do otwarcia, powiedział w komentarzu przesłanym pocztą elektroniczną Saeed Abbasi, menedżer ds. badania podatności w firmie Qualys. „Wpływ tej luki jest głęboki, zagraża bezpieczeństwu i podważa zaufanie do mechanizmów ochronnych, takich jak SmartScreen” – powiedział Abbasi.
Obejście SmartScreen Zero-Day
Drugi dzień zerowy ujawniony przez Microsoft w aktualizacji zabezpieczeń z tego miesiąca dotyczy Defender SmartScreen. Według Microsoftu, CVE-2024-21351 to błąd o średniej wadze, który umożliwia atakującemu ominięcie zabezpieczeń SmartScreen i wstrzyknięcie do niego kodu, aby potencjalnie uzyskać możliwość zdalnego wykonania kodu. Według Microsoftu udany exploit może prowadzić do ograniczonego ujawnienia danych, problemów z dostępnością systemów lub obu tych czynników. Nie są dostępne żadne szczegółowe informacje na temat tego, kto dokładnie może wykorzystywać błąd i w jakim celu.
W komentarzach przygotowanych dla Dark Reading Mike Walters, prezes i współzałożyciel Action1, stwierdził, że luka jest powiązana ze sposobem, w jaki Microsoft Mark of the Web (funkcja identyfikująca niezaufane treści z Internetu) współdziała z funkcją SmartScreen. „W przypadku tej luki osoba atakująca musi rozesłać użytkownikowi złośliwy plik i przekonać go do jego otwarcia, co umożliwi mu obejście kontroli SmartScreen i potencjalne naruszenie bezpieczeństwa systemu” – powiedział Walters.
Błędy o wysokim priorytecie
Wśród pięciu krytycznych luk ujawnionych w lutowej aktualizacji, priorytetem jest ta, która wymaga uwagi CVE-2024-21410, luka w zabezpieczeniach umożliwiająca eskalację uprawnień w Exchange Server, ulubionym celu atakujących. Osoba atakująca może wykorzystać ten błąd do ujawnienia skrótu Net-New Technology LAN Manager (NTLM) w wersji 2 docelowego użytkownika, a następnie przekazać te dane uwierzytelniające serwerowi Exchange, którego dotyczy problem, i uwierzytelnić się na nim jako użytkownik.
Tego typu wady, które ujawniają poufne informacje, takie jak skróty NTLM, mogą być bardzo cenne dla atakujących, powiedział w oświadczeniu Satnam Narang, starszy inżynier ds. badań w firmie Tenable. „Rosyjski ugrupowanie zagrażające wykorzystał podobną lukę do przeprowadzenia ataków — CVE-2023-23397 to luka w zabezpieczeniach programu Microsoft Outlook polegająca na podniesieniu uprawnień, załatana w marcu 2023 r.” – powiedział.
Aby załatać tę lukę, administratorzy Exchange będą musieli upewnić się, że zainstalowali aktualizację zbiorczą aktualizacji Exchange Server 2019 14 (CU14) i upewnić się, że funkcja rozszerzonej ochrony uwierzytelniania (EPA) jest włączona, twierdzi Trend Micro. Dostawca zabezpieczeń wskazał na artykuł opublikowany przez firmę Microsoft który zawiera dodatkowe informacje na temat sposobu załatania luki.
Firma Microsoft przyznała CVE-2024-21410 maksymalną ocenę ważności 9.1 na 10, co oznacza, że jest to luka krytyczna. Jednak zazwyczaj luki w zabezpieczeniach związane z eskalacją uprawnień uzyskują stosunkowo niskie wyniki w skali oceny podatności CVSS, co przeczy prawdziwej naturze zagrożenia, jakie stanowią, powiedział Kev Breen, starszy dyrektor ds. badań nad zagrożeniami w Immersive Labs. „Pomimo ich niskiego wyniku, luki w zabezpieczeniach [eskalacji uprawnień] są bardzo poszukiwane przez podmioty zagrażające i wykorzystywane w prawie każdym incydencie cybernetycznym” – stwierdził Breen w oświadczeniu. „Gdy osoba atakująca uzyska dostęp do konta użytkownika za pomocą socjotechniki lub innego ataku, następnie spróbuje przekazać swoje uprawnienia administratorowi lokalnemu lub administratorowi domeny”.
Podkreślono Waltersa z Akcji 1 CVE-2024-21413, luka RCE w programie Microsoft Outlook jako luka, której administratorzy mogą chcieć nadać priorytet z lutowej partii. Luka o krytycznym znaczeniu, o niemal maksymalnym wskaźniku ważności wynoszącym 9.8, wiąże się z niską złożonością ataku, brakiem interakcji z użytkownikiem i nie wymaga żadnych specjalnych uprawnień od atakującego, aby ją wykorzystać. „Osoba atakująca może wykorzystać tę lukę za pośrednictwem panelu podglądu w programie Outlook, co pozwala na obejście funkcji Office Protected View i wymuszenie otwarcia plików w trybie edycji zamiast w bezpieczniejszym trybie chronionym” – powiedział Walters.
Sam Microsoft zidentyfikował tę lukę jako element, którego atakujący są mniej skłonni zaatakować. Niemniej jednak Walters stwierdził, że luka ta stanowi poważne zagrożenie dla organizacji i wymaga niezwłocznej reakcji.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/vulnerabilities-threats/attackers-exploit-microsoft-security-bypass-zero-day-bugs
- :ma
- :Jest
- 1
- 10
- 14
- 16
- 2019
- 2023
- 30
- 66
- 7
- 8
- 9
- a
- dostęp
- Stosownie
- Konto
- w poprzek
- aktywny
- aktorzy
- Dodatkowy
- Dodatkowe informacje
- Admin
- Administratorzy
- afektowany
- wpływający
- Po
- przed
- aka
- Wszystkie kategorie
- Pozwalać
- pozwala
- prawie
- wśród
- an
- i
- SĄ
- AS
- przydzielony
- At
- atakować
- napastnik
- Ataki
- Uwaga
- uwierzytelniać
- Uwierzytelnianie
- dostępność
- dostępny
- Lazur
- BE
- należący
- obie
- przeglądarka
- Bug
- błędy
- biznes
- ale
- by
- bypass
- Kampania
- CAN
- możliwości
- nieść
- Kasyno
- Wykrywanie urządzeń szpiegujących
- przechytrzyć
- Współzałożyciel
- kod
- komentarz
- komentarze
- sukcesy firma
- kompleksowość
- kompromis
- kompromis
- zawartość
- mógłby
- POŚWIADCZENIE
- krytyczny
- Obecnie
- cyber
- Ciemny
- Mroczne czytanie
- dane
- dostarczyć
- opisane
- Mimo
- detale
- Dyrektor
- katalog
- Ujawniać
- ujawnienie
- odkryty
- rozprowadzać
- dystrybuowane
- domena
- Spadek
- dubbingowane
- krawędź
- bądź
- włączony
- umożliwiając
- Punkt końcowy
- inżynier
- Inżynieria
- zapewnić
- EPA
- Błędy
- zwiększać
- eskalacja
- Każdy
- dokładnie
- wymiana
- egzekucja
- Wykorzystać
- wykorzystywanie
- exploity
- Ekspozycja
- dużym
- Moja lista
- Cecha
- luty
- filet
- Akta
- budżetowy
- Sektor finansowy
- i terminów, a
- pięć
- poprawki
- wada
- Skazy
- W razie zamówieenia projektu
- wytrzymałość
- od
- Wzrost
- otrzymać
- haszysz
- Have
- he
- Podświetlony
- wysoko
- W jaki sposób
- How To
- HTTPS
- zidentyfikowane
- identyfikacja
- wciągające
- Rezultat
- ważny
- in
- incydent
- obejmuje
- Informacja
- początkowy
- wstrzykiwać
- zainstalowany
- wzajemne oddziaływanie
- współdziała
- Internet
- najnowszych
- dotyczy
- Wydany
- problemy
- IT
- JEGO
- samo
- jpg
- Labs
- prowadzić
- mniej
- dźwignia
- lewarowanie
- lubić
- Prawdopodobnie
- Ograniczony
- miejscowy
- niski
- WYKONUJE
- złośliwy
- kierownik
- sposób
- March
- znak
- maksymalny
- Mechanizmy
- mikro
- Microsoft
- może
- mikrofon
- Moda
- umiarkowanego
- Miesiąc
- musi
- Natura
- Blisko
- Potrzebować
- Niemniej jednak
- Następny
- dziewięć
- Nie
- of
- Biurowe
- on
- pewnego razu
- ONE
- koncepcja
- or
- organizacji
- Inne
- na zewnątrz
- Outlook
- chleb
- Łata
- Patch wtorek
- uprawnienia
- plato
- Analiza danych Platona
- PlatoDane
- plus
- stwarza
- potencjalnie
- przygotowany
- teraźniejszość
- prezydent
- Podgląd
- poprzednio
- Priorytet
- priorytet
- przywilej
- przywileje
- Produkty
- głęboki
- chroniony
- ochrona
- Ochronny
- zapewnia
- cel
- zasięg
- rated
- raczej
- ocena
- Czytający
- stosunkowo
- zdalny
- zdalny dostęp
- Zgłoszone
- wymagany
- Wymaga
- Badania naukowe
- badacz
- s
- bezpieczniej
- Powiedział
- Skala
- zaplanowane
- wynik
- sektor
- bezpieczeństwo
- Szukajcie
- senior
- wrażliwy
- serwer
- kilka
- podobny
- Skype
- Obserwuj Nas
- Inżynieria społeczna
- kilka
- coś
- poszukiwany
- specjalny
- Łącza
- Personel
- Zestawienie sprzedaży
- znaczny
- udany
- Utrzymany
- system
- systemy
- cel
- ukierunkowane
- kierowania
- Technologia
- Tendencję
- niż
- że
- Połączenia
- ich
- Im
- następnie
- one
- to
- groźba
- podmioty grożące
- trzy
- Przez
- Związany
- do
- Handlowcy
- Trend
- trojański
- prawdziwy
- Zaufaj
- Wtorek
- drugiej
- zazwyczaj
- dla
- Aktualizacja
- posługiwać się
- używany
- Użytkownik
- za pomocą
- Cenny
- sprzedawca
- wersja
- Wersje
- początku.
- przez
- Zobacz i wysłuchaj
- Luki w zabezpieczeniach
- wrażliwość
- chcieć
- Uzdatnianie wody
- sieć
- były
- Co
- który
- KIM
- szeroki
- Szeroki zasięg
- będzie
- okna
- w
- by
- zefirnet
- podatności na zero dni