Благодаря точной четырехнедельной продолжительности февраля этого года, совпадение обновлений Firefox и Microsoft в прошлом месяце произошло еще раз.
В прошлом месяце Microsoft разобралась с три нулевых дня, под которым мы подразумеваем дыры в безопасности, которые киберпреступники обнаружили первыми и выяснили, как использовать их в реальных атаках, прежде чем были доступны какие-либо исправления.
(Имя нулевого дняИли просто 0 день, является напоминанием о том, что даже самые прогрессивные и активные патчеры среди нас наслаждались ровно ноль дней, в течение которых мы могли бы опередить мошенников.)
В марте 2023 года есть два исправления нулевого дня, одно в Outlookа другой в Windows SmartScreen.
Интересно, что ошибка, которая была обнаружена в дикой природе, хотя Microsoft довольно мягко сообщила о ней как Обнаружена эксплуатация, недостаток Outlook в совокупности приписывают CERT-UA (Украинская группа реагирования на компьютерные чрезвычайные ситуации), Microsoft Incident Response и Microsoft Threat Intelligence.
Вы можете сделать из этого все, что захотите.
Конечная точка Outlook
Эта ошибка, получившая название CVE-2023-23397: Уязвимость Microsoft Outlook, связанная с несанкционированным получением прав (EoP), это описано следующим образом:
Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить доступ к хэшу Net-NTLMv2 пользователя, который можно использовать в качестве основы для атаки NTLM Relay на другую службу для аутентификации пользователя. […]
Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданное электронное письмо, которое срабатывает автоматически при получении и обработке клиентом Outlook. Это может привести к эксплойту ДО того, как электронное письмо будет просмотрено в области предварительного просмотра. […]
Внешние злоумышленники могут отправлять специально созданные электронные письма, которые вызывают подключение жертвы к внешнему местоположению UNC, контролируемому злоумышленниками. Это приведет к утечке хэша Net-NTLMv2 жертвы злоумышленнику, который затем сможет передать его другой службе и аутентифицироваться как жертва.
Объяснить (насколько мы можем предположить, учитывая, что у нас нет никаких подробностей о предстоящей атаке).
Аутентификация Net-NTLMv2, которую мы для краткости назовем NTLM2, работает примерно так:
- Местоположение, к которому вы подключаетесь отправляет более 8 случайных байтов известный как вызов.
- Твой компьютер генерирует свои собственные 8 случайных байтов.
- Ты вычислить хэш с ключом HMAC-MD5 двух строк запроса используя существующий надежно сохраненный хэш вашего пароля в качестве ключа.
- Ты отправьте хэш с ключом и ваш 8-байтовый вызов.
- На другом конце теперь есть как 8-байтовые вызовы, так и ваш одноразовый ответ, поэтому он может пересчитайте хэш с ключом и проверьте свой ответ.
На самом деле, это еще немного, потому что на самом деле есть два хэша с ключами, один смешивает два 8-байтовых числа случайного вызова, а другой смешивает дополнительные данные, включая ваше имя пользователя, доменное имя и текущее время.
Но основной принцип тот же.
Ни ваш фактический пароль, ни сохраненный хэш вашего пароля (например, из Active Directory) никогда не передаются, поэтому он не может утечь в пути.
Кроме того, обе стороны могут каждый раз вводить 8 байтов своей случайности, что предотвращает повторное использование любой из сторон старой строки запроса в надежде получить тот же хэш с ключом, что и в предыдущем сеансе.
(Упаковка времени и других данных, относящихся к входу в систему, обеспечивает дополнительную защиту от так называемых переиграть атаки, но мы проигнорируем эти детали здесь.)
Сидя посередине
Как вы можете себе представить, учитывая, что злоумышленник может обманом заставить вас попытаться «войти» на их поддельный сервер (либо когда вы читаете заминированную электронную почту, либо, что еще хуже, когда Outlook начинает обрабатывать ее от вашего имени, еще до того, как вы получите увидеть, как фальшиво это может выглядеть), в конечном итоге вы получите единственный действительный ответ NTLM2.
Этот ответ предназначен для того, чтобы доказать другой стороне не только то, что вы действительно знаете пароль учетной записи, которую, как вы утверждаете, принадлежит вам, но также (из-за смешанных данных запроса), что вы не просто повторно используете предыдущий ответ. .
Таким образом, как предупреждает Microsoft, злоумышленник, который может правильно рассчитать время, может начать аутентификацию на подлинном сервере, как вы, не зная вашего пароля или его хэша, просто чтобы получить 8-байтовый стартовый запрос от реального сервера…
…а затем передайте этот вызов вам в тот момент, когда вас обманом заставят попытаться войти на их фальшивый сервер.
Если вы затем вычислите хэш с ключом и отправите его обратно в качестве «доказательства того, что я знаю свой собственный пароль прямо сейчас», мошенники смогут передать этот правильно рассчитанный ответ обратно на настоящий сервер, на который они пытаются проникнуть, и, таким образом, заставить этот сервер принять их, как если бы они были вами.
Короче говоря, вы определенно хотите исправить это, потому что даже если атака требует много попыток, времени и удачи и вряд ли сработает, мы уже знаем, что это случай «Обнаружена эксплуатация».
Другими словами, атаку можно заставить работать, и хотя бы один раз она была успешной против ничего не подозревающей жертвы, которая сама не сделала ничего рискованного или неправильного.
Обход защиты SmartScreen
Второй нулевой день CVE-2023-24880, а этот почти описывает сам: Функция безопасности Windows SmartScreen позволяет обойти уязвимость.
Проще говоря, Windows обычно помечает файлы, поступающие через Интернет, флагом, который гласит: «Этот файл пришел извне; относитесь к нему с осторожностью и не слишком доверяйте ему».
Этот флаг «откуда он взялся» раньше назывался файловым Интернет-зона идентификатор, и он напоминает Windows, насколько (или насколько мало) следует доверять содержимому этого файла при его последующем использовании.
В эти дни ID зоны (насколько это важно, идентификатор 3 означает «из Интернета») обычно упоминается более драматичным и запоминающимся именем Знак Интернетаили МТВ коротко.
Технически этот идентификатор зоны хранится вместе с файлом в так называемом Альтернативный поток данныхили ОБЪЯВЛЕНИЯ, но файлы могут содержать данные ADS только в том случае, если они хранятся на дисках Windows в формате NTFS. Например, если вы сохраняете файл в томе FAT или копируете его на диск, отличный от NTFS, идентификатор зоны теряется, поэтому эта защитная метка несколько ограничена.
Эта ошибка означает, что некоторые файлы, поступающие извне — например, загрузки или вложения электронной почты — не помечаются правильным идентификатором MotW, поэтому они незаметно обходят официальные проверки безопасности Microsoft.
от Microsoft общественный бюллетень не говорит точно, какие типы файлов (изображения? офисные документы? PDF-файлы? все они?) могут быть проникнуты в вашу сеть таким образом, но очень широко предупреждает, что «функции безопасности, такие как защищенный просмотр в Microsoft Office» можно обойти с помощью этого трюка.
Мы предполагаем, что это означает, что вредоносные файлы, которые обычно обезвреживаются, например, за счет подавления встроенного кода макроса, могут неожиданно появиться при просмотре или открытии.
В очередной раз обновление вернет вас на один уровень с злоумышленниками, так что Не откладывайте / исправьте это сегодня.
Что делать?
- Исправляйте, как только сможете, как мы только что сказали выше.
- Читать полностью Анализ SophosLabs этих ошибок и более 70 других патчей, если вы все еще не уверены.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://nakedsecurity.sophos.com/2023/03/15/microsoft-fixes-two-0-days-on-patch-tuesday-update-now/
- :является
- $UP
- 1
- 2023
- 70
- 8
- a
- в состоянии
- О нас
- выше
- Absolute
- злоупотребление
- доступ
- Учетная запись
- активный
- на самом деле
- дополнительный
- Добавляет
- объявления
- против
- впереди
- Все
- уже
- среди
- и
- Другой
- ответ
- МЫ
- AS
- At
- атаковать
- нападки
- проверять подлинность
- Аутентификация
- автор
- автоматический
- автоматически
- доступен
- назад
- Фоновое изображение
- основа
- BE
- , так как:
- до
- Немного
- граница
- Обе стороны
- Дно
- приносить
- широко
- Ошибка
- ошибки
- встроенный
- by
- призывают
- CAN
- случаев
- Вызывать
- Центр
- вызов
- проблемы
- Проверки
- утверждать
- клиент
- код
- совпадение
- цвет
- как
- Вычисление
- компьютер
- Соединительный
- связи
- содержание
- контроль
- может
- чехол для варгана
- Текущий
- киберпреступники
- данным
- Дней
- определенно
- подробнее
- DID
- открытый
- Дисплей
- Документация
- не
- домен
- Имя домена
- Dont
- загрузок
- драматично
- управлять
- дублированный
- в течение
- или
- Писем
- крайняя необходимость
- Даже
- НИКОГДА
- Каждая
- точно,
- пример
- существующий
- Объяснять
- Эксплуатировать
- эксплуатация
- Эксплуатируемый
- и, что лучший способ
- дополнительно
- ярмарка
- не настоящие
- Жир
- Особенность
- Особенности
- февраль
- фигурный
- Файл
- Файлы
- Firefox
- Во-первых,
- недостаток
- следующим образом
- Что касается
- найденный
- от
- полный
- получить
- данный
- проблеск
- Go
- произошло
- хэш
- Есть
- имеющий
- высота
- здесь
- Отверстия
- надежды
- зависать
- Как
- How To
- HTTPS
- i
- ID
- идентификатор
- изображений
- in
- инцидент
- реакция на инцидент
- В том числе
- Интеллекта
- Интернет
- IT
- ЕГО
- саму трезвость
- Основные
- Дитя
- Знать
- знание
- известный
- этикетка
- Фамилия
- вести
- утечка
- Длина
- ЖИЗНЬЮ
- такое как
- Вероятно
- Ограниченный
- мало
- расположение
- посмотреть
- удачи
- Макрос
- сделанный
- сделать
- Март
- Маржа
- макс-ширина
- означает
- Microsoft
- может быть
- смешанный
- Смешивание
- момент
- Месяц
- БОЛЕЕ
- самых
- МТВ
- имя
- сеть
- "обычные"
- номера
- of
- Офис
- Официальный представитель в Грузии
- Старый
- on
- ONE
- открытый
- Другое
- Outlook
- внешнюю
- собственный
- хлеб
- вечеринка
- Пароль
- Патчи
- Патч вторник
- Патчи
- Пол
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- должность
- Блог
- необходимость
- Точно
- довольно
- предварительный просмотр
- предыдущий
- принцип
- Проактивная
- Обработанный
- обработка
- приложение
- защищенный
- защиту
- защитный
- Доказывать
- положил
- случайный
- хаотичность
- скорее
- Читать
- реальные
- назвало
- Ответить
- Сообщается
- требуется
- ответ
- рискованный
- грубо
- Сказал
- то же
- Сохранить
- говорит
- Во-вторых
- безопасность
- отправка
- обслуживание
- Сессия
- Короткое
- должен
- Стороны
- одинарной
- So
- твердый
- некоторые
- в некотором роде
- специально
- весна
- Начало
- Начало
- начинается
- По-прежнему
- хранить
- впоследствии
- Успешно
- такие
- SVG
- команда
- который
- Ассоциация
- их
- Их
- Эти
- вещи
- В этом году
- угроза
- время
- в
- слишком
- топ
- транзит
- переход
- прозрачный
- лечить
- Доверие
- вторник
- Типы
- украинский
- лежащий в основе
- Обновление ПО
- Updates
- URL
- us
- Информация о пользователе
- обычно
- проверить
- с помощью
- Жертва
- Вид
- объем
- уязвимость
- предупреждает
- Путь..
- Что
- который
- КТО
- ширина
- Дикий
- будете
- окна
- без
- слова
- Работа
- работает
- стоимость
- бы
- Неправильно
- год
- Ты
- ВАШЕ
- зефирнет
- нуль