Jest Patch Tuesday Week (jeśli pozwolisz nam na nasz codzienny pleonazm), a aktualizacje Microsoftu obejmują poprawki wielu luk w zabezpieczeniach, które firma nazwała Krytyczny, wraz z poprawką dnia zerowego, chociaż dzień 0 otrzymuje tylko ocenę Ważny.
Dzień 0 prawdopodobnie uszedł bez bycia krytycznym, ponieważ nie jest to dziura umożliwiająca zdalne wykonanie kodu (RCE), co oznacza, że nie może zostać wykorzystana przez kogoś, kto jeszcze nie włamał się do twojego komputera.
Ten jest CVE-2023-28252, błąd podniesienia uprawnień (EoP) w Sterownik wspólnego systemu plików dziennika systemu Windows.
Problem z błędami Windows EoP, zwłaszcza w sterownikach, które są instalowane domyślnie na każdym komputerze z systemem Windows, polega na tym, że prawie zawsze pozwalają one atakującym z niewielkimi lub żadnymi znaczącymi uprawnieniami dostępu na promowanie się bezpośrednio do SYSTEM
konto, dając im tak dobrą, jak całkowitą kontrolę nad komputerem.
Programy działające jako SYSTEM
zazwyczaj może: ładować i usuwać sterowniki jądra; instalować, zatrzymywać i uruchamiać usługi systemowe; czytać i zapisywać większość plików na komputerze; zmienić istniejące uprawnienia dostępu; uruchamiać lub wyłączać inne programy; szpiegować inne programy; bałagan z bezpiecznymi częściami rejestru; i wiele więcej.
Jak na ironię, wspólny system plików dziennika (CLFS) został zaprojektowany do przyjmowania i zarządzania oficjalnymi żądaniami logowania w imieniu dowolnej usługi lub aplikacji na komputerze, aby zapewnić porządek, precyzję, spójność i bezpieczeństwo w oficjalnym prowadzeniu rejestrów na poziomie systemu.
Dwie wysoko punktowane dziury krytyczne
Szczególnie zainteresowały nas dwa błędy krytyczne.
Pierwszy to CVE-2023-21554, otwór RCE w Kolejka wiadomości firmy Microsoft system lub MSMQ, komponent, który ma zapewniać programom niezawodną komunikację, niezależnie od rodzaju połączeń sieciowych między nimi.
Usługa MSMQ nie jest domyślnie włączona, ale w systemach zaplecza o wysokiej niezawodności, w których zwykłe komunikaty sieciowe TCP lub UDP nie są uważane za wystarczająco niezawodne, usługa MSMQ może być włączona.
(Microsoftu własne przykłady aplikacji, które mogą odnieść korzyści z MSMQ, obejmują usługi przetwarzania finansowego na platformach handlu elektronicznego oraz systemy obsługi bagażu na lotniskach).
Niestety, mimo że ten błąd nie występuje na wolności, otrzymał ocenę krytyczną i ocenę zagrożenia CVSS 9.8/10.
Dwuzdaniowy opis błędu Microsoftu mówi po prostu:
Aby wykorzystać tę lukę, osoba atakująca musiałaby wysłać specjalnie spreparowany złośliwy pakiet MSMQ do serwera MSMQ. Może to spowodować zdalne wykonanie kodu po stronie serwera.
Na podstawie wysokiego wyniku CVSS i tego, o czym Microsoft nie wspomniał w powyższym opisie, zakładamy, że osoby atakujące wykorzystujące tę lukę nie musiałyby być zalogowane ani przechodzić przez jakikolwiek proces uwierzytelniania.
Niebezpieczeństwo DHCP
Drugi krytyczny błąd, który przykuł naszą uwagę, to CVE-2023-28231, dziura RCE w Microsoft Usługa serwera DHCP.
DHCP jest skrótem od protokół dynamicznej konfiguracji hostai jest używany w prawie wszystkich sieciach Windows do przydzielania adresów sieciowych (numerów IP) komputerom, które łączą się z siecią.
Pomaga to zapobiegać przypadkowej próbie użycia tego samego numeru IP przez dwóch użytkowników (co mogłoby spowodować kolizję ich pakietów sieciowych), a także umożliwia śledzenie, które urządzenia są w dowolnym momencie połączone.
Zwykle błędy zdalnego wykonywania kodu na serwerach DHCP są bardzo niebezpieczne, mimo że serwery DHCP generalnie działają tylko w sieci lokalnej, a nie w Internecie.
To dlatego, że DHCP jest przeznaczony do wymiany pakietów sieciowych w ramach „tańca konfiguracji” nie tylko przed wprowadzeniem hasła lub podaniem nazwy użytkownika, ale jako pierwszy krok do podłączenia komputera do trybu online na poziomie sieci.
Innymi słowy, serwery DHCP muszą być wystarczająco solidne, aby akceptować pakiety z nieznanych i niezaufanych urządzeń i odpowiadać na nie, tylko po to, aby Twoja sieć mogła zacząć decydować, jak bardzo im zaufać.
Na szczęście jednak ten konkretny błąd uzyskuje nieco niższą ocenę niż wspomniany błąd MSMQ (jego poziom zagrożenia CVSS wynosi 8.8/10), ponieważ znajduje się w części usługi DHCP, która jest dostępna tylko z komputera po zalogowaniu.
Słowami Microsoftu:
Uwierzytelniona osoba atakująca może wykorzystać specjalnie spreparowane wywołanie RPC do usługi DHCP w celu wykorzystania tej luki.
Pomyślne wykorzystanie tej luki wymaga, aby osoba atakująca przed przystąpieniem do ataku musiała najpierw uzyskać dostęp do zastrzeżonej sieci.
Gdy Bezpieczny rozruch to tylko rozruch
Ostatnie dwa błędy, które nas zaintrygowały, to CVE-2023-28249 i CVE-2023-28269, oba wymienione pod nagłówkiem Luka w zabezpieczeniach związana z obejściem funkcji zabezpieczeń Menedżera rozruchu systemu Windows.
Według Microsoftu:
Osoba atakująca, której uda się wykorzystać [te luki], może ominąć Bezpieczny rozruch, aby uruchomić nieautoryzowany kod. Aby odnieść sukces, osoba atakująca potrzebowałaby dostępu fizycznego lub uprawnień administratora.
Jak na ironię, głównym celem wychwalanego systemu Bezpiecznego rozruchu jest to, że ma on pomóc w utrzymaniu komputera na ścisłej i niezachwianej ścieżce od momentu włączenia go do momentu przejęcia kontroli przez system Windows.
Rzeczywiście, Bezpieczny rozruch ma powstrzymać atakujących, którzy ukradną Twój komputer, przed wstrzyknięciem jakiegokolwiek kodu-pułapki, który mógłby zmodyfikować lub podważyć sam proces początkowego uruchamiania, trik znany w żargonie jako zestaw rozruchowy.
Przykłady obejmują potajemne rejestrowanie naciśnięć klawiszy, które wpisujesz podczas wprowadzania kodu odblokowującego szyfrowanie dysku BitLocker (bez którego uruchomienie systemu Windows jest niemożliwe) lub podstępne wprowadzanie zmodyfikowanych sektorów dysku do kodu programu ładującego, który odczytuje jądro systemu Windows, aby uruchamiał się niepewnie.
Ten rodzaj zdrady jest często określany jako atak „złego sprzątacza”, oparty na scenariuszu, w którym każdy, kto ma oficjalny dostęp do Twojego pokoju hotelowego podczas Twojej nieobecności, na przykład zdradziecki sprzątacz, może dyskretnie wstrzyknąć bootkit, na przykład uruchamiając na krótko laptopa z dysku USB i pozwalając automatycznemu skryptowi wykonać brudną robotę…
…a następnego dnia użyj równie szybkiej i bezobsługowej sztuczki, aby odzyskać skradzione dane, takie jak naciśnięcia klawiszy, i usunąć wszelkie dowody na to, że bootkit kiedykolwiek tam był.
Innymi słowy, Bezpieczny rozruch ma na celu ochronę odpowiednio zaszyfrowanego laptopa przed przejęciem — nawet, a może przede wszystkim, przez cyberprzestępcę, który ma do niego fizyczny dostęp.
Więc gdybyśmy mieli komputer z systemem Windows do codziennego użytku, łatalibyśmy te błędy tak, jakby były krytyczne, mimo że własna ocena Microsoftu jest tylko ważna.
Co robić?
- Popraw teraz. Ponieważ jeden dzień zerowy został już wykorzystany przez przestępców, dwa błędy krytyczne o wysokim wyniku CVSS, które mogą prowadzić do zdalnej implantacji złośliwego oprogramowania, oraz dwa błędy, które mogą usunąć Bezpieczny z Bezpiecznego rozruchu, po co zwlekać? Po prostu zrób to już dziś!
- Czytaj Raport SophosLabs który patrzy na łatki z tego miesiąca szerzej. Z 97 CVE załatanymi w samym systemie Windows, Visual Studio Code, SQL Server, Sharepoint i wielu innych komponentach, jest o wiele więcej błędów, o których administratorzy powinni wiedzieć.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://nakedsecurity.sophos.com/2023/04/12/microsoft-fixes-a-zero-day-and-two-curious-bugs-that-take-the-secure-out-of-secure-boot/
- :Jest
- $W GÓRĘ
- 1
- 8
- 9
- a
- Zdolny
- O nas
- powyżej
- bezwzględny
- Akceptuj
- dostęp
- dostępny
- Konto
- w poprzek
- Adresy
- Po
- lotnisko
- Wszystkie kategorie
- już
- Chociaż
- zawsze
- i
- ktoś
- Aplikacja
- aplikacje
- SĄ
- AS
- At
- atakować
- uwierzytelniony
- Uwierzytelnianie
- autor
- samochód
- automatycznie
- Back-end
- background-image
- na podstawie
- BE
- bo
- zanim
- jest
- korzyści
- pomiędzy
- granica
- Dolny
- krótko
- szeroko
- Bug
- błędy
- by
- wezwanie
- CAN
- złapany
- Spowodować
- Centrum
- zmiana
- zderzenie
- kod
- kolor
- wspólny
- komunikować
- sukcesy firma
- składnik
- składniki
- komputer
- komputery
- systemu
- Skontaktuj się
- połączony
- połączenia
- za
- kontrola
- mógłby
- pokrywa
- przestępcy
- krytyczny
- ciekawy
- CYBERPRZESTĘPCA
- codziennie
- ZAGROŻENIE
- dane
- dzień
- dzień do dnia
- Decydowanie
- Domyślnie
- opóźnienie
- opis
- zaprojektowany
- urządzenia
- bezpośrednio
- Wyświetlacz
- napęd
- sterowniki
- dubbingowane
- e-commerce
- każdy
- wysiłek
- bądź
- włączony
- szyfrowanie
- dość
- zapewnić
- szczególnie
- Parzyste
- EVER
- Każdy
- dowód
- przykład
- wymiana
- egzekucja
- Przede wszystkim system został opracowany
- Wykorzystać
- eksploatacja
- eksploatowany
- oko
- Cecha
- karmienie
- kilka
- filet
- Akta
- budżetowy
- i terminów, a
- Fix
- W razie zamówieenia projektu
- od
- Wzrost
- ogólnie
- otrzymać
- miejsce
- Dający
- hacked
- ręka
- Prowadzenie
- Have
- nagłówek
- wysokość
- pomoc
- pomaga
- Wysoki
- Otwór
- Dziury
- gospodarz
- hotel
- unosić
- W jaki sposób
- Jednak
- HTTPS
- ważny
- niemożliwy
- in
- zawierać
- początkowy
- zainstalować
- zainstalowany
- odsetki
- Internet
- IP
- IT
- JEGO
- samo
- żargon
- jpg
- Trzymać
- konserwacja
- Zabić
- Wiedzieć
- znany
- laptopa
- Nazwisko
- prowadzić
- najmu
- poziom
- Dźwignia
- Katalogowany
- załadować
- miejscowy
- WYGLĄD
- Główny
- malware
- zarządzanie
- kierownik
- wiele
- Margines
- Maksymalna szerokość
- znaczenie
- jedynie
- wiadomość
- wiadomości
- Microsoft
- może
- zmodyfikowano
- modyfikować
- jeszcze
- większość
- Potrzebować
- sieć
- sieci
- Następny
- normalna
- numer
- z naszej
- of
- urzędnik
- on
- ONE
- Online
- zamówienie
- Inne
- własny
- Pakiety
- część
- szczególny
- strony
- Hasło
- Łata
- Patch wtorek
- Łatki
- łatanie
- ścieżka
- Paweł
- może
- fizyczny
- Platformy
- plato
- Analiza danych Platona
- PlatoDane
- Volcano Plenty Vaporizer Storz & Bickel
- punkt
- position
- Wiadomości
- Detaliczność
- zapobiec
- przywileje
- prawdopodobnie
- Problem
- wygląda tak
- przetwarzanie
- Programy
- promować
- zapewniać
- pod warunkiem,
- cel
- położyć
- Szybki
- ocena
- Czytaj
- Odebrane
- rekord
- , o którym mowa
- Bez względu
- rejestr
- regularny
- zdalny
- usunąć
- odpowiadać
- wywołań
- Wymaga
- ograniczony
- dalsze
- krzepki
- Pokój
- run
- bieganie
- "bezpiecznym"
- taki sam
- mówią
- scenariusz
- wynik
- druga
- Sektory
- bezpieczne
- bezpieczeństwo
- Serwery
- usługa
- Usługi
- Short
- bok
- znaczący
- Podobnie
- po prostu
- So
- solidny
- Ktoś
- specjalnie
- początek
- Startowy
- rozpocznie
- startup
- Ewolucja krok po kroku
- skradziony
- Stop
- Ścisły
- studio
- udany
- Z powodzeniem
- taki
- domniemany
- SVG
- system
- systemy
- Brać
- trwa
- że
- Połączenia
- ich
- Im
- sami
- Te
- Przez
- czas
- do
- Top
- Kwota produktów:
- śledzić
- przejście
- przezroczysty
- Zaufaj
- Wtorek
- SKRĘCAĆ
- Obrócony
- zazwyczaj
- dla
- odblokować
- niezachwiany
- Nowości
- URL
- us
- usb
- posługiwać się
- Użytkownicy
- Luki w zabezpieczeniach
- wrażliwość
- Droga..
- tydzień
- DOBRZE
- Co
- który
- Podczas
- KIM
- szerokość
- Dziki
- będzie
- okna
- w
- bez
- słowa
- Praca
- by
- napisać
- You
- Twój
- zefirnet