Microsoft ujawnia 5 dni zerowych w obszernej lipcowej aktualizacji zabezpieczeń

Microsoft Lipcowa aktualizacja zabezpieczeń zawiera poprawki dla aż 130 unikalnych luk, z których pięć atakujący już aktywnie wykorzystują w środowisku naturalnym.

Firma oceniła dziewięć wad jako krytyczną, a 121 jako umiarkowaną lub poważną. Luki dotyczą szerokiej gamy produktów Microsoft, w tym Windows, Office, .Net, Azure Active Directory, sterowników drukarek, serwera DMS i pulpitu zdalnego. Aktualizacja zawierała zwykłą mieszankę błędów związanych ze zdalnym wykonaniem kodu (RCE), obejściem zabezpieczeń i eskalacją uprawnień, błędami ujawniania informacji i lukami w zabezpieczeniach typu „odmowa usługi”.

„Ta liczba poprawek jest najwyższa, jaką widzieliśmy w ciągu ostatnich kilku lat, chociaż to"Nie jest niczym niezwykłym, że Microsoft wysyła dużą liczbę poprawek tuż przed konferencją Black Hat USA” — powiedział Dustin Childs, badacz ds. bezpieczeństwa w firmie Trend Micro Zero Day Initiative (ZDI) w poście na blogu.

Zdaniem badaczy bezpieczeństwa, z punktu widzenia ustalania priorytetów poprawek, pięć dni zerowych, które Microsoft ujawnił w tym tygodniu, zasługuje na natychmiastową uwagę.

Najpoważniejszy z nich to CVE-2023-36884, błąd zdalnego wykonywania kodu (RCE) w Office i Windows HTML, dla którego Microsoft nie miał poprawki w aktualizacji z tego miesiąca. Firma zidentyfikowała grupę zagrożeń, którą śledzi, Storm-0978, jako wykorzystującą lukę w kampanii phishingowej wymierzonej w organizacje rządowe i obronne w Ameryce Północnej i Europie.

Kampania polega na tym, że cyberprzestępca rozpowszechnia backdoora o nazwie RomCom za pośrednictwem dokumentów systemu Windows o tematyce związanej ze Światowym Kongresem Ukrainy. „Burza-0978"Ukierunkowane operacje wpłynęły na organizacje rządowe i wojskowe głównie na Ukrainie, a także organizacje w Europie i Ameryce Północnej potencjalnie zaangażowane w sprawy ukraińskie” Microsoft napisał na swoim blogu post, który towarzyszył lipcowej aktualizacji zabezpieczeń. „Zidentyfikowane ataki ransomware wpłynęły między innymi na branżę telekomunikacyjną i finansową”.

Dustin Childs, inny badacz z ZDI, ostrzegł organizacje, aby traktowały CVE-2023-36884 jako „krytyczny” problem bezpieczeństwa, mimo że sam Microsoft ocenił go jako stosunkowo mniej poważny, „ważny” błąd. „Microsoft podjął dziwną akcję, udostępniając to CVE bez Łatka. To"jeszcze przed nami” – napisał Childs w poście na blogu. „Oczywiście, że tam"sa o wiele wiecej do tego wyczynu, niz sie mówi.”

Dwie z pięciu luk, które są aktywnie wykorzystywane, to luki związane z obejściem zabezpieczeń. Jeden wpływa na program Microsoft Outlook (CVE-2023-35311), a drugi dotyczy Windows SmartScreen (CVE-2023-32049). Obie luki wymagają interakcji ze strony użytkownika, co oznacza, że ​​osoba atakująca może je wykorzystać jedynie poprzez przekonanie użytkownika do kliknięcia złośliwego adresu URL. W przypadku luki CVE-2023-32049 osoba atakująca mogłaby ominąć monit Otwórz plik — ostrzeżenie o zabezpieczeniach, a luka CVE-2023-35311 umożliwia atakującym przemycenie ataku za pomocą monitu Microsoft Outlook Security Notice.

„Należy zauważyć, że [CVE-2023-35311] w szczególności umożliwia ominięcie funkcji zabezpieczeń programu Microsoft Outlook i nie umożliwia zdalnego wykonywania kodu ani eskalacji uprawnień” — powiedział Mike Walters, wiceprezes ds. badań nad lukami w zabezpieczeniach i zagrożeniami w firmie Action1. „Dlatego osoby atakujące prawdopodobnie połączą to z innymi exploitami w celu przeprowadzenia kompleksowego ataku. Luka dotyczy wszystkich wersji programu Microsoft Outlook począwszy od 2013 r.”, zauważył w e-mailu do Dark Reading.

Kev Breen, dyrektor ds. badań nad zagrożeniami cybernetycznymi w Immersive Labs, ocenił inne obejście zabezpieczeń dnia zerowego - CVE-2023-32049 — jako kolejny błąd, który cyberprzestępcy najprawdopodobniej wykorzystają w ramach szerszego łańcucha ataków.

Dwa pozostałe dni zerowe w najnowszym zestawie poprawek Microsoftu umożliwiają eskalację uprawnień. Badacze z Grupy Analizy Zagrożeń Google odkryli jedno z nich. Wada, śledzona jako CVE-2023-36874, to problem z podniesieniem uprawnień w usłudze raportowania błędów systemu Windows (WER), który umożliwia atakującym uzyskanie uprawnień administracyjnych w systemach podatnych na ataki. Osoba atakująca potrzebowałaby lokalnego dostępu do systemu, którego dotyczy luka, w celu wykorzystania luki, którą mogłaby uzyskać za pomocą innych exploitów lub nadużycia poświadczeń.

„Usługa WER to funkcja w systemach operacyjnych Microsoft Windows, która automatycznie zbiera i wysyła raporty o błędach do firmy Microsoft, gdy pewne oprogramowanie ulegnie awarii lub napotka inne rodzaje błędów” — powiedział Tom Bowyer, badacz bezpieczeństwa w firmie Automox. „Ta luka dnia zerowego jest aktywnie wykorzystywana, więc jeśli Twoja organizacja korzysta z WER, zalecamy zainstalowanie łatki w ciągu 24 godzin” — powiedział.

Innym błędem związanym z podwyższeniem uprawnień w lipcowej aktualizacji zabezpieczeń, który atakujący już aktywnie wykorzystują, jest CVE-2023-32046 na platformie Windows MSHTM firmy Microsoft, znanej również jako silnik renderujący przeglądarki „Trident”. Podobnie jak w przypadku wielu innych błędów, ten również wymaga pewnego poziomu interakcji użytkownika. W scenariuszu ataku za pośrednictwem poczty e-mail w celu wykorzystania błędu osoba atakująca musiałaby wysłać docelowemu użytkownikowi specjalnie spreparowany plik i nakłonić użytkownika do jego otwarcia. Microsoft powiedział, że w przypadku ataku internetowego osoba atakująca musiałaby hostować złośliwą witrynę — lub użyć zainfekowanej witryny — w celu hostowania specjalnie spreparowanego pliku, a następnie przekonać ofiarę do jego otwarcia.

RCE w Windows Routing, Remote Access Service

Analitycy bezpieczeństwa wskazali trzy luki RCE w usłudze Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366, CVE-2023-35367) jak wszystkie zasługujące na priorytetową uwagę. Microsoft ocenił wszystkie trzy luki jako krytyczne i wszystkie trzy uzyskały ocenę CVSS na poziomie 9.8. Usługa nie jest domyślnie dostępna w systemie Windows Server i zasadniczo umożliwia komputerom z systemem operacyjnym działanie jako routery, serwery VPN i serwery dial-up, powiedział Bowyer z Automox. „Skuteczny atakujący może modyfikować konfiguracje sieci, kraść dane, przenosić się do innych, bardziej krytycznych/ważnych systemów lub tworzyć dodatkowe konta zapewniające stały dostęp do urządzenia."

Wady serwera SharePoint

Gigantyczna lipcowa aktualizacja Microsoftu zawierała poprawki czterech luk RCE w serwerze SharePoint, który stał się ostatnio popularnym celem atakujących. Microsoft ocenił dwa błędy jako „ważne” (CVE-2023-33134 i CVE-2023-33159) a dwa pozostałe jako „krytyczne” (CVE-2023-33157 i CVE-2023-33160). „Wszystkie z nich wymagają uwierzytelnienia osoby atakującej lub wykonania przez użytkownika czynności, która na szczęście zmniejsza ryzyko naruszenia” — powiedział Yoav Iellin, starszy badacz w firmie Silverfort. „Mimo to, ponieważ SharePoint może zawierać poufne dane i zwykle są one ujawniane spoza organizacji, osoby korzystające z wersji lokalnej lub hybrydowej powinny dokonać aktualizacji”.

Organizacje, które muszą przestrzegać przepisów, takich jak FEDRAMP, PCI, HIPAA, SOC2 i podobnych przepisów, powinny zwracać uwagę na CVE-2023-35332: luka Windows Remote Desktop Protocol Security Feature Bypass, powiedział Dor Dali, szef badań w Cyolo. Powiedział, że luka w zabezpieczeniach ma związek z wykorzystaniem przestarzałych i przestarzałych protokołów, w tym Datagram Transport Layer Security (DTLS) w wersji 1.0, która stanowi poważne zagrożenie dla bezpieczeństwa i zgodności dla organizacji. Powiedział, że w sytuacjach, w których organizacja nie może natychmiast dokonać aktualizacji, powinna wyłączyć obsługę UDP w bramie RDP.

Ponadto Microsoft opublikował poradnik w sprawie dochodzenia w sprawie ostatnich doniesień o cyberprzestępcach korzystających ze sterowników certyfikowanych przez Microsoft"s Windows Hardware Developer Program (MWHDP) w działaniu po wykorzystaniu luki w zabezpieczeniach.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
• Źródło: https://www.darkreading.com/application-security/microsoft-discloses–zero-days-in-voluminous-july-security-update