Graças às precisas quatro semanas de fevereiro deste ano, a coincidência do mês passado de atualizações do Firefox e da Microsoft aconteceu mais uma vez.
No mês passado, a Microsoft lidou com três dias zero, com o que queremos dizer brechas de segurança que os cibercriminosos encontraram primeiro e descobriram como abusar em ataques da vida real antes que qualquer patch estivesse disponível.
(O nome dia zero, Ou apenas 0-dia, é um lembrete do fato de que mesmo os patchers mais progressistas e proativos entre nós desfrutaram exatamente de zero dias durante os quais poderíamos estar à frente dos bandidos.)
Em março de 2023, há duas correções de dia zero, uma em Outlook, e o outro em Windows SmartScreen.
Curiosamente para um bug que foi descoberto na natureza, embora um relatado de forma bastante branda pela Microsoft como Exploração detectada, a falha do Outlook é creditada conjuntamente CERT-UA (a equipe ucraniana de resposta a emergências de computador), Microsoft Incident Response e Microsoft Threat Intelligence.
Você pode fazer disso o que quiser.
Perspectiva EoP
Este bug, apelidado CVE-2023-23397: Vulnerabilidade de elevação de privilégio do Microsoft Outlook (EoP), é descrito como se segue:
Um invasor que explorar com êxito essa vulnerabilidade pode acessar o hash Net-NTLMv2 de um usuário, que pode ser usado como base para um ataque de retransmissão NTLM contra outro serviço para autenticar como o usuário. […]
O invasor pode explorar essa vulnerabilidade enviando um e-mail especialmente criado que é acionado automaticamente quando é recuperado e processado pelo cliente Outlook. Isso pode levar à exploração ANTES de o e-mail ser visualizado no Painel de Visualização. […]
Os invasores externos podem enviar e-mails especialmente criados que causarão uma conexão da vítima com um local UNC externo sob o controle dos invasores. Isso vazará o hash Net-NTLMv2 da vítima para o invasor, que poderá retransmiti-lo para outro serviço e autenticar como a vítima.
Para explicar (tanto quanto podemos imaginar, já que não temos nenhum detalhe sobre o ataque para continuar).
A autenticação Net-NTLMv2, que chamaremos apenas de NTLM2 para abreviar, funciona mais ou menos assim:
- O local ao qual você está se conectando envia mais de 8 bytes aleatórios conhecido como desafiar.
- Seu computador gera seus próprios 8 bytes aleatórios.
- Vocês calcule um hash com chave HMAC-MD5 das duas strings de desafio usando um hash existente de sua senha armazenado com segurança como a chave.
- Vocês envie o hash com chave e seu desafio de 8 bytes.
- A outra ponta agora tem desafios de 8 bytes e sua resposta única, então pode recalcule o hash com chave e verifique sua resposta.
Na verdade, há um pouco mais do que isso, porque na verdade existem dois hashes de chave, um misturando os dois números de desafio aleatório de 8 bytes e o outro misturando dados adicionais, incluindo seu nome de usuário, nome de domínio e a hora atual.
Mas o princípio subjacente é o mesmo.
Nem sua senha real nem o hash armazenado de sua senha (por exemplo, do Active Directory) são transmitidos, portanto, não podem vazar em trânsito.
Além disso, ambos os lados conseguem injetar 8 bytes de sua própria aleatoriedade todas as vezes, o que impede que qualquer uma das partes reutilize sorrateiramente uma string de desafio antiga na esperança de terminar com o mesmo hash de chave de uma sessão anterior.
(Envolver a hora e outros dados específicos de logon adiciona proteção extra contra os chamados ataques de repetição, mas vamos ignorar esses detalhes aqui.)
Sentado no meio
Como você pode imaginar, dado que o invasor pode induzi-lo a tentar “logon” em seu servidor falso (seja quando você lê o e-mail armadilhado ou, pior, quando o Outlook começa a processá-lo em seu nome, antes mesmo de você obter um vislumbrar como pode parecer falso), você acaba vazando uma única resposta NTLM2 válida.
Essa resposta destina-se a provar ao outro lado não apenas que você realmente sabe a senha da conta que afirma ser sua, mas também (por causa dos dados do desafio misturados) que você não está apenas reutilizando uma resposta anterior .
Portanto, como a Microsoft adverte, um invasor que pode cronometrar as coisas corretamente pode começar a se autenticar em um servidor genuíno como você, sem saber sua senha ou seu hash, apenas para obter um desafio inicial de 8 bytes do servidor real…
… e, em seguida, passe esse desafio de volta para você no momento em que for induzido a tentar fazer login no servidor falso.
Se você calcular o hash com chave e enviá-lo de volta como sua “prova de que sei minha própria senha agora”, os bandidos podem retransmitir essa resposta calculada corretamente de volta ao servidor genuíno que estão tentando se infiltrar e, assim, para induzir esse servidor a aceitá-los como se fossem você.
Resumindo, você definitivamente quer fazer um patch contra este, porque mesmo que o ataque exija muitas tentativas, tempo e sorte, e não seja muito provável que funcione, já sabemos que é um caso de “Exploração detectada”.
Em outras palavras, o ataque pode funcionar e foi bem-sucedido pelo menos uma vez contra uma vítima inocente que não fez nada de arriscado ou errado.
Desvio de segurança SmartScreen
O segundo dia zero é CVE-2023-24880, e este bastante descreve si: Vulnerabilidade de desvio do recurso de segurança do Windows SmartScreen.
Simplificando, o Windows geralmente marca os arquivos que chegam pela Internet com um sinalizador que diz: “Este arquivo veio de fora; trate-o com luvas de pelica e não confie muito nele.
Este sinalizador de onde veio costumava ser conhecido como um arquivo Zona da Internet identificador e lembra o Windows quanto (ou quão pouco) deve confiar no conteúdo desse arquivo quando for usado posteriormente.
Nos dias de hoje, o ID de zona (pelo que vale a pena, um ID de 3 denota “da internet”) é geralmente referido pelo nome mais dramático e memorável marca da webou MotW abreviado.
Tecnicamente, esse ID de zona é armazenado junto com o arquivo no que é conhecido como Fluxo de Dados Alternativoou ADS, mas os arquivos só podem ter dados ADS se estiverem armazenados em discos Wiindows formatados em NTFS. Se você salvar um arquivo em um volume FAT, por exemplo, ou copiá-lo para uma unidade não-NTFS, a ID da zona será perdida, portanto, esse rótulo protetor é um tanto limitado.
Esse bug significa que alguns arquivos que vêm de fora - por exemplo, downloads ou anexos de e-mail - não são marcados com o identificador MotW correto, portanto, evitam sorrateiramente as verificações de segurança oficiais da Microsoft.
Microsoft boletim público não diz exatamente quais tipos de arquivo (imagens? Documentos do Office? PDFs? Todos eles?) podem ser infiltrados em sua rede dessa maneira, mas alerta amplamente que “recursos de segurança como o Protected View no Microsoft Office” pode ser contornado com este truque.
Achamos que isso significa que arquivos maliciosos que normalmente seriam tornados inofensivos, por exemplo, tendo o código de macro integrado suprimido, podem ganhar vida inesperadamente quando visualizados ou abertos.
Mais uma vez, a atualização o colocará de volta no mesmo nível dos atacantes, então Não atrase/faça o patch hoje.
O que fazer?
- Corrija o mais rápido que puder, como acabamos de dizer acima.
- Leia a íntegra análise SophosLabs desses bugs e mais de 70 outros patches, caso ainda não esteja convencido.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Fonte: https://nakedsecurity.sophos.com/2023/03/15/microsoft-fixes-two-0-days-on-patch-tuesday-update-now/
- :é
- $UP
- 1
- 2023
- 70
- 8
- a
- Capaz
- Sobre
- acima
- absoluto
- abuso
- Acesso
- Conta
- ativo
- Adicional
- Adiciona
- anúncios
- contra
- à frente
- Todos os Produtos
- já
- entre
- e
- Outro
- responder
- SOMOS
- AS
- At
- ataque
- Ataques
- autenticar
- Autenticação
- autor
- auto
- automaticamente
- disponível
- em caminho duplo
- background-image
- base
- BE
- Porque
- antes
- Pouco
- fronteira
- Ambos os lados
- Inferior
- trazer
- amplamente
- Bug
- erros
- construídas em
- by
- chamada
- CAN
- casas
- Causar
- Centralização de
- desafiar
- desafios
- Cheques
- reivindicar
- cliente
- código
- coincidência
- cor
- como
- Computar
- computador
- Conexão de
- da conexão
- conteúdo
- ao controle
- poderia
- cobrir
- Atual
- cibercriminosos
- dados,
- dias
- definitivamente
- detalhes
- DID
- descoberto
- Ecrã
- INSTITUCIONAIS
- Não faz
- domínio
- Nome de domínio
- não
- de downloads
- dramaticamente
- distância
- apelidado
- durante
- ou
- e-mails
- kit
- Mesmo
- SEMPRE
- Cada
- exatamente
- exemplo
- existente
- Explicação
- Explorar
- exploração
- exploradas
- externo
- extra
- feira
- falsificação
- gordura
- Característica
- Funcionalidades
- Fevereiro
- figurado
- Envie o
- Arquivos
- Firefox
- Primeiro nome
- falha
- segue
- Escolha
- encontrado
- da
- cheio
- ter
- dado
- Vislumbre
- Go
- aconteceu
- hash
- Ter
- ter
- altura
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- Buracos
- esperança
- pairar
- Como funciona o dobrador de carta de canal
- Como Negociar
- HTTPS
- i
- ID
- identificador
- imagens
- in
- incidente
- resposta a incidentes
- Incluindo
- Inteligência
- Internet
- IT
- ESTÁ
- se
- Chave
- Criança
- Saber
- Conhecimento
- conhecido
- O rótulo
- Sobrenome
- conduzir
- vazar
- Comprimento
- vida
- como
- Provável
- Limitado
- pequeno
- localização
- olhar
- sorte
- Macro
- moldadas
- fazer
- Março
- Margem
- max-width
- significa
- Microsoft
- poder
- misto
- Misturando
- momento
- Mês
- mais
- a maioria
- MOTW
- nome
- rede
- normal
- números
- of
- Office
- oficial
- Velho
- on
- ONE
- aberto
- Outros
- Outlook
- lado de fora
- próprio
- pão
- festa
- Senha
- Remendo
- Patch Tuesday
- Patches
- Paul
- platão
- Inteligência de Dados Platão
- PlatãoData
- posição
- POSTAGENS
- preciso
- justamente
- bastante
- visualização
- anterior
- princípio
- Proactive
- Processado
- em processamento
- progressivo
- protegido
- proteção
- protetor
- Prove
- colocar
- acaso
- aleatoriedade
- em vez
- Leia
- reais
- a que se refere
- resposta
- Informou
- exige
- resposta
- Arriscado
- grosseiramente
- Dito
- mesmo
- Salvar
- diz
- Segundo
- segurança
- envio
- serviço
- Sessão
- Baixo
- rede de apoio social
- Sides
- solteiro
- So
- sólido
- alguns
- um pouco
- especialmente
- primavera
- começo
- Comece
- começa
- Ainda
- armazenadas
- Subseqüentemente
- entraram com sucesso
- tal
- SVG
- Profissionais
- que
- A
- deles
- Eles
- Este
- coisas
- este ano
- ameaça
- tempo
- para
- também
- topo
- trânsito
- transição
- transparente
- tratar
- Confiança
- Terça-feira
- tipos
- Ucraniano
- subjacente
- Atualizar
- Atualizações
- URL
- us
- Utilizador
- geralmente
- verificar
- via
- Vítima
- Ver
- volume
- vulnerabilidade
- Avisa
- Caminho..
- O Quê
- qual
- QUEM
- largura
- Selvagem
- precisarão
- Windows
- de
- sem
- palavras
- Atividades:
- trabalho
- Equivalente há
- seria
- Errado
- ano
- Vocês
- investimentos
- zefirnet
- zero