Microsoft dezvăluie 5 zero-zile într-o voluminoasă actualizare de securitate din iulie

Microsoft Actualizare de securitate din iulie conține remedieri pentru 130 de vulnerabilități unice, cinci dintre care atacatorii le exploatează deja în mod activ în sălbăticie.

Compania a evaluat nouă dintre defecte ca fiind de gravitate critică și 121 dintre ele ca fiind de severitate moderată sau importantă. Vulnerabilitățile afectează o gamă largă de produse Microsoft, inclusiv Windows, Office, .Net, Azure Active Directory, drivere de imprimantă, server DMS și desktop la distanță. Actualizarea conținea combinația obișnuită de defecte de execuție a codului de la distanță (RCE), probleme de ocolire a securității și de escaladare a privilegiilor, erori de divulgare a informațiilor și vulnerabilități de refuzare a serviciului.

„Acest volum de remedieri este cel mai mare pe care l-am văzut în ultimii ani, deși este"Nu este neobișnuit să vedem că Microsoft livrează un număr mare de patch-uri chiar înainte de conferința Black Hat USA”, a declarat Dustin Childs, cercetător de securitate la Zero Day Initiative (ZDI) de la Trend Micro, într-o postare pe blog.

Din punct de vedere al prioritizării patch-urilor, cele cinci zile zero pe care Microsoft le-a dezvăluit în această săptămână merită o atenție imediată, potrivit cercetătorilor în securitate.

Cel mai grav dintre ele este CVE-2023-36884, o eroare de execuție a codului de la distanță (RCE) în Office și Windows HTML, pentru care Microsoft nu a avut un patch pentru actualizarea din această lună. Compania a identificat un grup de amenințări pe care îl urmărește, Storm-0978, ca exploatând defectul dintr-o campanie de phishing care vizează organizațiile guvernamentale și de apărare din America de Nord și Europa.

Campania implică actorul amenințării care distribuie o ușă din spate, numită RomCom, prin documente Windows cu teme legate de Congresul Mondial din Ucraina. „Furtuna-0978"Operațiunile vizate au avut un impact asupra organizațiilor guvernamentale și militare în principal din Ucraina, precum și asupra organizațiilor din Europa și America de Nord potențial implicate în afacerile ucrainene.” Microsoft a spus într-un blog postare care a însoțit actualizarea de securitate din iulie. „Atacuri de ransomware identificate au avut impact asupra industriilor de telecomunicații și finanțe, printre altele.”

Dustin Childs, un alt cercetător la ZDI, a avertizat organizațiile să trateze CVE-2023-36884 ca pe o problemă de securitate „critică”, chiar dacă Microsoft a evaluat-o ca fiind o eroare „importantă” relativ mai puțin gravă. „Microsoft a luat o acțiune ciudată de a lansa acest CVE fără un plasture. Acea"încă urmează”, a scris Childs într-o postare pe blog. „Clar, acolo"Este mult mai mult la această exploatare decât se spune.”

Două dintre cele cinci vulnerabilități care sunt exploatate activ sunt defecte de ocolire a securității. Unul afectează Microsoft Outlook (CVE-2023-35311) iar celălalt implică Windows SmartScreen (CVE-2023-32049). Ambele vulnerabilități necesită interacțiunea utilizatorului, ceea ce înseamnă că un atacator ar putea să le exploateze doar convingând un utilizator să facă clic pe o adresă URL rău intenționată. Cu CVE-2023-32049, un atacator ar putea ocoli promptul Open File – Security Warning, în timp ce CVE-2023-35311 oferă atacatorilor o modalitate de a-și asista atacul prin promptul Microsoft Outlook Security Notice.

„Este important de reținut că [CVE-2023-35311] permite în mod special ocolirea caracteristicilor de securitate Microsoft Outlook și nu permite executarea de cod de la distanță sau escaladarea privilegiilor”, a declarat Mike Walters, vicepreședinte pentru cercetarea vulnerabilităților și amenințărilor la Action1. „Prin urmare, este posibil ca atacatorii să-l combine cu alte exploit-uri pentru un atac cuprinzător. Vulnerabilitatea afectează toate versiunile Microsoft Outlook începând cu 2013”, a menționat el într-un e-mail către Dark Reading.

Kev Breen, director de cercetare a amenințărilor cibernetice la Immersive Labs, a evaluat cealaltă ocolire de securitate zero-day - CVE-2023-32049 — ca o altă eroare pe care actorii amenințărilor o vor folosi cel mai probabil ca parte a unui lanț de atac mai larg.

Celelalte două zile zero din cel mai recent set de patch-uri Microsoft permit ambele escaladarea privilegiilor. Cercetătorii de la Google Threat Analysis Group au descoperit unul dintre ele. Defectul, urmărit ca CVE-2023-36874, este o problemă de creștere a privilegiilor în serviciul Windows Error Reporting (WER) care oferă atacatorilor o modalitate de a obține drepturi administrative pe sisteme vulnerabile. Un atacator ar avea nevoie de acces local la un sistem afectat pentru a exploata defectul, pe care l-ar putea obține prin alte exploit-uri sau prin utilizarea greșită a acreditărilor.

„Serviciul WER este o caracteristică a sistemelor de operare Microsoft Windows care colectează și trimite automat rapoarte de eroare către Microsoft atunci când un anumit software se blochează sau întâlnește alte tipuri de erori”, a declarat Tom Bowyer, cercetător de securitate la Automox. „Această vulnerabilitate zero-day este exploatată în mod activ, așa că, dacă organizația dumneavoastră folosește WER, vă recomandăm aplicarea corecțiilor în 24 de ore”, a spus el.

Cealaltă eroare de creștere a privilegiilor din actualizarea de securitate din iulie pe care atacatorii o exploatează deja în mod activ este CVE-2023-32046 în platforma Microsoft Windows MSHTM, alias motorul de randare a browserului „Trident”. Ca și în cazul multor alte erori, și acesta necesită un anumit nivel de interacțiune cu utilizatorul. Într-un scenariu de atac prin e-mail pentru a exploata eroarea, un atacator ar trebui să trimită unui utilizator vizat un fișier special creat și să-l determine pe utilizator să-l deschidă. Într-un atac pe web, un atacator ar trebui să găzduiască un site web rău intenționat – sau să folosească unul compromis – pentru a găzdui un fișier special creat și apoi să convingă o victimă să-l deschidă, a spus Microsoft.

RCE-uri în rutare Windows, serviciu de acces la distanță

Cercetătorii de securitate au indicat trei vulnerabilități RCE în Serviciul de rutare și acces la distanță Windows (RRAS) (CVE-2023-35365, CVE-2023-35366, și CVE-2023-35367) merită o atenție prioritară ca toate. Microsoft a evaluat toate cele trei vulnerabilități ca fiind critice și toate trei au un scor CVSS de 9.8. Serviciul nu este disponibil implicit pe Windows Server și, practic, permite computerelor care rulează sistemul de operare să funcționeze ca routere, servere VPN și servere dial-up, a spus Bowyer de la Automox. „Un atacator de succes ar putea modifica configurațiile rețelei, să fure date, să se mute la alte sisteme mai critice/importante sau să creeze conturi suplimentare pentru acces persistent la dispozitiv.

Defecte ale serverului SharePoint

Actualizarea uriașă a Microsoft din iulie conținea remedieri pentru patru vulnerabilități RCE din serverul SharePoint, care a devenit recent o țintă populară pentru atacatori. Microsoft a evaluat două dintre erori ca fiind „importante” (CVE-2023-33134 și CVE-2023-33159) iar celelalte două drept „critice” (CVE-2023-33157 și CVE-2023-33160). „Toate acestea necesită ca atacatorul să fie autentificat sau utilizatorul să efectueze o acțiune care, din fericire, reduce riscul unei încălcări”, a spus Yoav Iellin, cercetător senior la Silverfort. „Chiar și așa, deoarece SharePoint poate conține date sensibile și este de obicei expus din afara organizației, cei care folosesc versiunile on-premises sau hibride ar trebui să actualizeze.”

Organizațiile care trebuie să respecte reglementări precum FEDRAMP, PCI, HIPAA, SOC2 și reglementări similare ar trebui să acorde atenție CVE-2023-35332: o defecțiune a Windows Remote Desktop Protocol Security Bypass, a declarat Dor Dali, șeful de cercetare la Cyolo. Vulnerabilitatea are de-a face cu utilizarea de protocoale învechite și depreciate, inclusiv Datagram Transport Layer Security (DTLS) versiunea 1.0, care prezintă un risc substanțial de securitate și conformitate pentru organizații, a spus el. În situațiile în care o organizație nu se poate actualiza imediat, ar trebui să dezactiveze suportul UDP în gateway-ul RDP, a spus el.

În plus, Microsoft a publicat un aviz pe investigația sa cu privire la rapoartele recente despre amenințări care folosesc drivere certificați sub Microsoft"s Windows Hardware Developer Program (MWHDP) în activitate post-exploatare.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. Automobile/VE-uri, carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• BlockOffsets. Modernizarea proprietății de compensare a mediului. Accesați Aici.
• Sursa: https://www.darkreading.com/application-security/microsoft-discloses–zero-days-in-voluminous-july-security-update