Microsoft Lipcowa aktualizacja zabezpieczeń zawiera poprawki dla aż 130 unikalnych luk, z których pięć atakujący już aktywnie wykorzystują w środowisku naturalnym.
Firma oceniła dziewięć wad jako krytyczną, a 121 jako umiarkowaną lub poważną. Luki dotyczą szerokiej gamy produktów Microsoft, w tym Windows, Office, .Net, Azure Active Directory, sterowników drukarek, serwera DMS i pulpitu zdalnego. Aktualizacja zawierała zwykłą mieszankę błędów związanych ze zdalnym wykonaniem kodu (RCE), obejściem zabezpieczeń i eskalacją uprawnień, błędami ujawniania informacji i lukami w zabezpieczeniach typu „odmowa usługi”.
„Ta liczba poprawek jest najwyższa, jaką widzieliśmy w ciągu ostatnich kilku lat, chociaż to"Nie jest niczym niezwykłym, że Microsoft wysyła dużą liczbę poprawek tuż przed konferencją Black Hat USA” — powiedział Dustin Childs, badacz ds. bezpieczeństwa w firmie Trend Micro Zero Day Initiative (ZDI) w poście na blogu.
Zdaniem badaczy bezpieczeństwa, z punktu widzenia ustalania priorytetów poprawek, pięć dni zerowych, które Microsoft ujawnił w tym tygodniu, zasługuje na natychmiastową uwagę.
Najpoważniejszy z nich to CVE-2023-36884, błąd zdalnego wykonywania kodu (RCE) w Office i Windows HTML, dla którego Microsoft nie miał poprawki w aktualizacji z tego miesiąca. Firma zidentyfikowała grupę zagrożeń, którą śledzi, Storm-0978, jako wykorzystującą lukę w kampanii phishingowej wymierzonej w organizacje rządowe i obronne w Ameryce Północnej i Europie.
Kampania polega na tym, że cyberprzestępca rozpowszechnia backdoora o nazwie RomCom za pośrednictwem dokumentów systemu Windows o tematyce związanej ze Światowym Kongresem Ukrainy. „Burza-0978"Ukierunkowane operacje wpłynęły na organizacje rządowe i wojskowe głównie na Ukrainie, a także organizacje w Europie i Ameryce Północnej potencjalnie zaangażowane w sprawy ukraińskie” Microsoft napisał na swoim blogu post, który towarzyszył lipcowej aktualizacji zabezpieczeń. „Zidentyfikowane ataki ransomware wpłynęły między innymi na branżę telekomunikacyjną i finansową”.
Dustin Childs, inny badacz z ZDI, ostrzegł organizacje, aby traktowały CVE-2023-36884 jako „krytyczny” problem bezpieczeństwa, mimo że sam Microsoft ocenił go jako stosunkowo mniej poważny, „ważny” błąd. „Microsoft podjął dziwną akcję, udostępniając to CVE bez Łatka. To"jeszcze przed nami” – napisał Childs w poście na blogu. „Oczywiście, że tam"sa o wiele wiecej do tego wyczynu, niz sie mówi.”
Dwie z pięciu luk, które są aktywnie wykorzystywane, to luki związane z obejściem zabezpieczeń. Jeden wpływa na program Microsoft Outlook (CVE-2023-35311), a drugi dotyczy Windows SmartScreen (CVE-2023-32049). Obie luki wymagają interakcji ze strony użytkownika, co oznacza, że osoba atakująca może je wykorzystać jedynie poprzez przekonanie użytkownika do kliknięcia złośliwego adresu URL. W przypadku luki CVE-2023-32049 osoba atakująca mogłaby ominąć monit Otwórz plik — ostrzeżenie o zabezpieczeniach, a luka CVE-2023-35311 umożliwia atakującym przemycenie ataku za pomocą monitu Microsoft Outlook Security Notice.
„Należy zauważyć, że [CVE-2023-35311] w szczególności umożliwia ominięcie funkcji zabezpieczeń programu Microsoft Outlook i nie umożliwia zdalnego wykonywania kodu ani eskalacji uprawnień” — powiedział Mike Walters, wiceprezes ds. badań nad lukami w zabezpieczeniach i zagrożeniami w firmie Action1. „Dlatego osoby atakujące prawdopodobnie połączą to z innymi exploitami w celu przeprowadzenia kompleksowego ataku. Luka dotyczy wszystkich wersji programu Microsoft Outlook począwszy od 2013 r.”, zauważył w e-mailu do Dark Reading.
Kev Breen, dyrektor ds. badań nad zagrożeniami cybernetycznymi w Immersive Labs, ocenił inne obejście zabezpieczeń dnia zerowego - CVE-2023-32049 — jako kolejny błąd, który cyberprzestępcy najprawdopodobniej wykorzystają w ramach szerszego łańcucha ataków.
Dwa pozostałe dni zerowe w najnowszym zestawie poprawek Microsoftu umożliwiają eskalację uprawnień. Badacze z Grupy Analizy Zagrożeń Google odkryli jedno z nich. Wada, śledzona jako CVE-2023-36874, to problem z podniesieniem uprawnień w usłudze raportowania błędów systemu Windows (WER), który umożliwia atakującym uzyskanie uprawnień administracyjnych w systemach podatnych na ataki. Osoba atakująca potrzebowałaby lokalnego dostępu do systemu, którego dotyczy luka, w celu wykorzystania luki, którą mogłaby uzyskać za pomocą innych exploitów lub nadużycia poświadczeń.
„Usługa WER to funkcja w systemach operacyjnych Microsoft Windows, która automatycznie zbiera i wysyła raporty o błędach do firmy Microsoft, gdy pewne oprogramowanie ulegnie awarii lub napotka inne rodzaje błędów” — powiedział Tom Bowyer, badacz bezpieczeństwa w firmie Automox. „Ta luka dnia zerowego jest aktywnie wykorzystywana, więc jeśli Twoja organizacja korzysta z WER, zalecamy zainstalowanie łatki w ciągu 24 godzin” — powiedział.
Innym błędem związanym z podwyższeniem uprawnień w lipcowej aktualizacji zabezpieczeń, który atakujący już aktywnie wykorzystują, jest CVE-2023-32046 na platformie Windows MSHTM firmy Microsoft, znanej również jako silnik renderujący przeglądarki „Trident”. Podobnie jak w przypadku wielu innych błędów, ten również wymaga pewnego poziomu interakcji użytkownika. W scenariuszu ataku za pośrednictwem poczty e-mail w celu wykorzystania błędu osoba atakująca musiałaby wysłać docelowemu użytkownikowi specjalnie spreparowany plik i nakłonić użytkownika do jego otwarcia. Microsoft powiedział, że w przypadku ataku internetowego osoba atakująca musiałaby hostować złośliwą witrynę — lub użyć zainfekowanej witryny — w celu hostowania specjalnie spreparowanego pliku, a następnie przekonać ofiarę do jego otwarcia.
RCE w Windows Routing, Remote Access Service
Analitycy bezpieczeństwa wskazali trzy luki RCE w usłudze Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366, CVE-2023-35367) jak wszystkie zasługujące na priorytetową uwagę. Microsoft ocenił wszystkie trzy luki jako krytyczne i wszystkie trzy uzyskały ocenę CVSS na poziomie 9.8. Usługa nie jest domyślnie dostępna w systemie Windows Server i zasadniczo umożliwia komputerom z systemem operacyjnym działanie jako routery, serwery VPN i serwery dial-up, powiedział Bowyer z Automox. „Skuteczny atakujący może modyfikować konfiguracje sieci, kraść dane, przenosić się do innych, bardziej krytycznych/ważnych systemów lub tworzyć dodatkowe konta zapewniające stały dostęp do urządzenia."
Wady serwera SharePoint
Gigantyczna lipcowa aktualizacja Microsoftu zawierała poprawki czterech luk RCE w serwerze SharePoint, który stał się ostatnio popularnym celem atakujących. Microsoft ocenił dwa błędy jako „ważne” (CVE-2023-33134 i CVE-2023-33159) a dwa pozostałe jako „krytyczne” (CVE-2023-33157 i CVE-2023-33160). „Wszystkie z nich wymagają uwierzytelnienia osoby atakującej lub wykonania przez użytkownika czynności, która na szczęście zmniejsza ryzyko naruszenia” — powiedział Yoav Iellin, starszy badacz w firmie Silverfort. „Mimo to, ponieważ SharePoint może zawierać poufne dane i zwykle są one ujawniane spoza organizacji, osoby korzystające z wersji lokalnej lub hybrydowej powinny dokonać aktualizacji”.
Organizacje, które muszą przestrzegać przepisów, takich jak FEDRAMP, PCI, HIPAA, SOC2 i podobnych przepisów, powinny zwracać uwagę na CVE-2023-35332: luka Windows Remote Desktop Protocol Security Feature Bypass, powiedział Dor Dali, szef badań w Cyolo. Powiedział, że luka w zabezpieczeniach ma związek z wykorzystaniem przestarzałych i przestarzałych protokołów, w tym Datagram Transport Layer Security (DTLS) w wersji 1.0, która stanowi poważne zagrożenie dla bezpieczeństwa i zgodności dla organizacji. Powiedział, że w sytuacjach, w których organizacja nie może natychmiast dokonać aktualizacji, powinna wyłączyć obsługę UDP w bramie RDP.
Ponadto Microsoft opublikował poradnik w sprawie dochodzenia w sprawie ostatnich doniesień o cyberprzestępcach korzystających ze sterowników certyfikowanych przez Microsoft"s Windows Hardware Developer Program (MWHDP) w działaniu po wykorzystaniu luki w zabezpieczeniach.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
- Źródło: https://www.darkreading.com/application-security/microsoft-discloses–zero-days-in-voluminous-july-security-update
- :ma
- :Jest
- :nie
- :Gdzie
- 1
- 2013
- 24
- 7
- 8
- 9
- a
- Zdolny
- O nas
- dostęp
- towarzyszy
- Stosownie
- Konta
- Działania
- aktywny
- aktywnie
- działalność
- aktorzy
- dodatek
- Dodatkowy
- administracyjny
- Sprawy
- oddziaływać
- aka
- Wszystkie kategorie
- pozwala
- już
- Chociaż
- Ameryka
- wśród
- an
- analiza
- i
- Inne
- SĄ
- AS
- oceniać
- At
- atakować
- Ataki
- Uwaga
- uwierzytelniony
- automatycznie
- dostępny
- Lazur
- tylne drzwi
- Gruntownie
- BE
- stają się
- zanim
- jest
- Czarny
- Czarny kapelusz
- Blog
- obie
- naruszenie
- szerszy
- przeglądarka
- Bug
- błędy
- by
- Kampania
- CAN
- nie może
- pewien
- Dyplomowani
- łańcuch
- wyraźnie
- kliknij
- kod
- połączyć
- jak
- sukcesy firma
- spełnienie
- wykonania
- wszechstronny
- Zagrożone
- komputery
- Konferencja
- Kongres
- zawierać
- zawarte
- zawiera
- przekonać
- mógłby
- Stwórz
- POŚWIADCZENIE
- krytyczny
- cve
- cyber
- Ciemny
- Mroczne czytanie
- dane
- dzień
- Domyślnie
- Obrona
- Denial of Service
- przestarzałe
- stacjonarny
- Deweloper
- urządzenie
- ZROBIŁ
- Dyrektor
- Ujawnia
- ujawnienie
- odkryty
- rozdzielczy
- do
- dokumenty
- robi
- sterowniki
- dubbingowane
- umożliwiać
- Umożliwia
- silnik
- błąd
- Błędy
- eskalacja
- Europie
- Parzyste
- egzekucja
- Wykorzystać
- eksploatowany
- wykorzystywanie
- exploity
- narażony
- Cecha
- Korzyści
- kilka
- filet
- finansować
- wada
- Skazy
- W razie zamówieenia projektu
- cztery
- od
- funkcjonować
- Wzrost
- Bramka
- otrzymać
- daje
- Rząd
- Zarządzanie
- sprzęt komputerowy
- kapelusz
- Have
- he
- głowa
- Najwyższa
- gospodarz
- GODZINY
- HTML
- HTTPS
- Hybrydowy
- zidentyfikowane
- if
- Natychmiastowy
- natychmiast
- wciągające
- wpływ
- ważny
- in
- Włącznie z
- przemysłowa
- Informacja
- inicjatywa
- wzajemne oddziaływanie
- najnowszych
- śledztwo
- zaangażowany
- problem
- problemy
- IT
- JEGO
- samo
- jpg
- lipiec
- Labs
- duży
- Nazwisko
- firmy
- warstwa
- mniej
- poziom
- Prawdopodobnie
- miejscowy
- Partia
- wiele
- znaczenie
- Zasługa
- Microsoft
- Microsoft Windows
- mikrofon
- Wojsko
- mieszać
- modyfikować
- Miesiąc
- jeszcze
- większość
- ruch
- Potrzebować
- netto
- sieć
- Północ
- Ameryka Północna
- zauważyć
- Zauważyć..
- numer
- of
- Biurowe
- on
- ONE
- tylko
- koncepcja
- operacyjny
- system operacyjny
- operacje
- or
- organizacja
- organizacji
- OS
- Inne
- Pozostałe
- Outlook
- zewnętrzne
- część
- Łata
- Łatki
- łatanie
- Zapłacić
- wykonać
- phishing
- kampania phishingowa
- Platforma
- plato
- Analiza danych Platona
- PlatoDane
- Popularny
- Post
- potencjalnie
- prezenty
- prezydent
- głównie
- priorytetyzacja
- priorytet
- przywilej
- Produkty
- Program
- protokół
- bezpieczeństwo protokołu
- protokoły
- zasięg
- ransomware
- Ataki ransomware
- rated
- Czytający
- niedawny
- niedawno
- polecić
- zmniejsza
- regulamin
- związane z
- stosunkowo
- uwalniając
- zdalny
- zdalny dostęp
- wykonanie
- Raportowanie
- Raporty
- wymagać
- Wymaga
- Badania naukowe
- badacz
- Badacze
- prawo
- prawa
- Ryzyko
- Routing
- bieganie
- s
- Powiedział
- scenariusz
- wynik
- bezpieczeństwo
- widzieć
- widziany
- wysłać
- wysyła
- senior
- wrażliwy
- poważny
- Serwery
- usługa
- zestaw
- ciężki
- STATEK
- powinien
- podobny
- sytuacje
- poskarżyć
- So
- Tworzenie
- kilka
- specjalnie
- swoiście
- punkt widzenia
- Nadal
- znaczny
- udany
- taki
- wsparcie
- system
- systemy
- Zadania
- cel
- ukierunkowane
- kierowania
- telekomunikacja
- niż
- że
- Połączenia
- ich
- Im
- następnie
- w związku z tym
- one
- to
- w tym tygodniu
- tych
- chociaż?
- groźba
- podmioty grożące
- trzy
- do
- tom
- także
- Śledzenie
- transportu
- leczyć
- Trend
- drugiej
- typy
- Ukraina
- ukraiński
- dla
- wyjątkowy
- Aktualizacja
- URL
- USA
- Stosowanie
- posługiwać się
- używany
- Użytkownik
- za pomocą
- zazwyczaj
- Ve
- wersja
- Wersje
- przez
- wice
- Wiceprezes
- Ofiara
- Tom
- VPN
- Luki w zabezpieczeniach
- wrażliwość
- Wrażliwy
- ostrzeżenie
- Droga..
- we
- Web-based
- Strona internetowa
- tydzień
- DOBRZE
- jeśli chodzi o komunikację i motywację
- który
- Podczas
- KIM
- szeroki
- Szeroki zasięg
- Dziki
- będzie
- okna
- w
- w ciągu
- świat
- by
- napisał
- lat
- Twój
- zefirnet
- zero
- Zero Day