Запланированное обновление безопасности Microsoft Patch Tuesday на февраль включает исправления двух уязвимостей нулевого дня, находящихся под активной атакой, а также 71 другую уязвимость в широком спектре ее продуктов.
В целом пять уязвимостей, для которых Microsoft выпустила февральский патч, были оценены как критические, 66 — как важные и две — как умеренные.
Ассоциация обновление включает патчи для Microsoft Office, Windows, Microsoft Exchange Server, браузера Edge на базе Chromium, Azure Active Directory, Microsoft Defender для конечной точки и Skype для бизнеса. Компания Tenable выявила 30 из 73 CVE как уязвимости удаленного выполнения кода (RCE); 16 как возможность повышения привилегий; 10 связаны с ошибками спуфинга; девять — как обеспечивающие распределенные атаки типа «отказ в обслуживании»; пять как недостатки раскрытия информации; и три как проблемы обхода безопасности.
Вода Hydra использует нулевые дни для финансовых трейдеров
Злоумышленник, известный как Water Hydra (также известный как Dark Casino), в настоящее время использует одну из уязвимостей нулевого дня — Функция безопасности файлов ярлыков Интернета обходит уязвимость отслеживается как CVE-2024-21412 (CVSS 8.1) — в вредоносной кампании, нацеленной на организации финансового сектора.
Исследователи из Trend Micro — среди тех, кто обнаружил уязвимость и сообщил о ней в Microsoft — описали ее как попытку обойти ранее исправленную уязвимость SmartScreen (CVE-2023-36025, CVSS 8.8) и затрагивает все поддерживаемые версии Windows. Злоумышленники Water Hydra используют CVE-2024-21412 для получения первичного доступа к системам финансовых трейдеров и установки на них трояна удаленного доступа DarkMe.
Чтобы воспользоваться уязвимостью, злоумышленнику сначала необходимо доставить вредоносный файл целевому пользователю и заставить его открыть его, сказал Саид Аббаси, менеджер по исследованию уязвимостей в Qualys, в комментариях, отправленных по электронной почте. «Воздействие этой уязвимости является глубоким, оно ставит под угрозу безопасность и подрывает доверие к защитным механизмам, таким как SmartScreen», — сказал Аббаси.
SmartScreen Обход нулевого дня
Другая атака нулевого дня, о которой Microsoft сообщила в обновлении безопасности в этом месяце, затрагивает Defender SmartScreen. По данным Microsoft, CVE-2024-21351 — это ошибка средней серьезности, которая позволяет злоумышленнику обойти защиту SmartScreen и внедрить в него код, чтобы потенциально получить возможность удаленного выполнения кода. По словам Microsoft, успешный эксплойт может привести к ограниченному раскрытию данных, проблемам с доступностью систем или к тому и другому. Никаких подробностей о том, кто именно мог использовать эту ошибку и с какой целью, нет.
В подготовленных комментариях для Dark Reading Майк Уолтерс, президент и соучредитель Action1, сказал, что уязвимость связана с тем, как Microsoft Mark of the Web (функция идентификации ненадежного контента из Интернета) взаимодействует с функцией SmartScreen. «Чтобы воспользоваться этой уязвимостью, злоумышленник должен передать пользователю вредоносный файл и убедить его открыть его, что позволит ему обойти проверки SmartScreen и потенциально поставить под угрозу безопасность системы», — сказал Уолтерс.
Высокоприоритетные ошибки
Среди пяти критических уязвимостей февральского обновления приоритетного внимания требует CVE-2024-21410, уязвимость повышения привилегий в Exchange Server, излюбленная цель злоумышленников. Злоумышленник может использовать эту ошибку, чтобы раскрыть хэш Net-New Technology LAN Manager (NTLM) целевого пользователя версии 2, а затем передать эти учетные данные на уязвимый сервер Exchange и аутентифицироваться на нем как пользователь.
Подобные недостатки, которые раскрывают конфиденциальную информацию, такую как NTLM-хеши, могут быть очень ценными для злоумышленников, сказал в своем заявлении Сатнам Наранг, старший инженер-исследователь компании Tenable. «Российский злоумышленник использовал аналогичную уязвимость для проведения атак — CVE-2023-23397 — это уязвимость несанкционированного повышения привилегий в Microsoft Outlook, исправленная в марте 2023 года», — сказал он.
По словам Trend Micro, чтобы исправить эту уязвимость, администраторам Exchange необходимо убедиться, что они установили накопительное обновление Exchange Server 2019 14 (CU14) и включили функцию расширенной защиты для аутентификации (EPA). Поставщик безопасности указал на статья, опубликованная Microsoft который предоставляет дополнительную информацию о том, как исправить уязвимость.
Microsoft присвоила CVE-2024-21410 максимальный уровень серьезности 9.1 из 10, что делает эту уязвимость критической. Но обычно уязвимости, связанные с повышением привилегий, имеют тенденцию получать относительно низкие оценки по шкале рейтинга уязвимостей CVSS, что противоречит истинной природе угрозы, которую они представляют, говорит Кев Брин, старший директор по исследованиям угроз в Immersive Labs. «Несмотря на низкий рейтинг, уязвимости [повышения привилегий] пользуются большим спросом среди злоумышленников и используются почти в каждом киберинциденте», — сказал Брин в своем заявлении. «Как только злоумышленник получит доступ к учетной записи пользователя с помощью социальной инженерии или какой-либо другой атаки, он попытается повысить свои разрешения либо локальному администратору, либо администратору домена».
Уолтерс из Action1 выделен CVE-2024-21413, уязвимость RCE в Microsoft Outlook как уязвимость, которую администраторы, возможно, захотят выделить в качестве приоритетной из февральского пакета. Критическая ошибка с почти максимальным показателем серьезности 9.8 предполагает низкую сложность атаки, отсутствие взаимодействия с пользователем и отсутствие специальных привилегий, необходимых злоумышленнику для ее использования. «Злоумышленник может воспользоваться этой уязвимостью через панель предварительного просмотра в Outlook, что позволит ему обойти Office Protected View и заставить файлы открываться в режиме редактирования, а не в более безопасном защищенном режиме», — сказал Уолтерс.
Сама Microsoft определила эту уязвимость как нечто, что злоумышленники с меньшей вероятностью будут атаковать. Тем не менее, Уолтерс заявил, что уязвимость представляет собой существенную угрозу для организаций и требует незамедлительного внимания.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/vulnerabilities-threats/attackers-exploit-microsoft-security-bypass-zero-day-bugs
- :имеет
- :является
- 1
- 10
- 14
- 16
- 2019
- 2023
- 30
- 66
- 7
- 8
- 9
- a
- доступ
- По
- Учетная запись
- через
- активный
- актеры
- дополнительный
- Дополнительная информация
- Администратор
- администраторы
- пострадавших
- затрагивающий
- После
- против
- ака
- Все
- Позволяющий
- позволяет
- почти
- среди
- an
- и
- МЫ
- AS
- назначенный
- At
- атаковать
- нападающий
- нападки
- внимание
- проверять подлинность
- Аутентификация
- свободных мест
- доступен
- Лазурный
- BE
- принадлежащий
- изоферменты печени
- браузер
- Ошибка
- ошибки
- бизнес
- но
- by
- байпас
- Кампания
- CAN
- возможности
- нести
- Казино
- Проверки
- обойти
- Соучредитель
- код
- комментарий
- Комментарии
- Компания
- сложность
- скомпрометированы
- компромат
- содержание
- может
- ПОЛНОМОЧИЯ
- критической
- В настоящее время
- кибер-
- темно
- Темное чтение
- данным
- доставить
- описано
- Несмотря на
- подробнее
- директор
- каталог
- Раскрывать
- раскрытие
- открытый
- распространять
- распределенный
- домен
- Падение
- дублированный
- Edge
- или
- включен
- позволяет
- Конечная точка
- инженер
- Проект и
- обеспечивать
- EPA
- ошибки
- обострять
- эскалация
- Каждая
- точно,
- обмена
- выполнение
- Эксплуатировать
- эксплуатации
- использует
- Экспозиция
- расширенная
- Избранное
- Особенность
- февраль
- Файл
- Файлы
- финансовый
- Финансовый сектор
- Во-первых,
- 5
- исправления
- недостаток
- недостатки
- Что касается
- Форс-мажор
- от
- Gain
- получить
- хэш
- Есть
- he
- Выделенные
- очень
- Как
- How To
- HTTPS
- идентифицированный
- идентифицирующий
- погружение
- Влияние
- важную
- in
- инцидент
- включает в себя
- информация
- начальный
- вводить
- установлен
- взаимодействие
- взаимодействует
- Интернет
- в
- включает в себя
- Выпущен
- вопросы
- IT
- ЕГО
- саму трезвость
- JPG
- Labs
- вести
- Меньше
- заемные средства
- Используя
- такое как
- Вероятно
- Ограниченный
- локальным
- Низкий
- ДЕЛАЕТ
- злонамеренный
- менеджер
- способ
- Март
- отметка
- максимальный
- механизмы
- Майк
- Microsoft
- может быть
- микрофон
- режим
- умеренному
- Месяц
- должен
- природа
- Возле
- Необходимость
- Тем не менее
- следующий
- 9
- нет
- of
- Офис
- on
- консолидировать
- ONE
- открытый
- or
- организации
- Другое
- внешний
- Outlook
- хлеб
- Патчи
- Патч вторник
- Разрешения
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- плюс
- представляет
- потенциально
- (например,
- представить
- президент
- предварительный просмотр
- предварительно
- Расставляйте приоритеты
- приоритет
- привилегия
- привилегии
- Продукция
- глубокий
- защищенный
- защиту
- защитный
- приводит
- цель
- ассортимент
- номинальный
- скорее
- рейтинг
- Reading
- относительно
- удаленные
- удаленный доступ
- Сообщается
- обязательный
- требуется
- исследованиям
- исследователь
- s
- безопаснее
- Сказал
- Шкала
- считаться
- Гол
- сектор
- безопасность
- Искать
- старший
- чувствительный
- сервер
- несколько
- аналогичный
- Skype
- Соцсети
- Социальная инженерия
- некоторые
- удалось
- искать
- особый
- Спонсоров
- Персонал
- заявление
- существенный
- успешный
- Поддержанный
- система
- системы
- цель
- целевое
- направлены
- Технологии
- Тенденцию
- чем
- который
- Ассоциация
- их
- Их
- тогда
- они
- этой
- угроза
- актеры угрозы
- три
- Через
- Связанный
- в
- Торговцы
- тенденция
- троянец
- правда
- Доверие
- вторник
- два
- типично
- под
- Обновление ПО
- использование
- используемый
- Информация о пользователе
- через
- ценный
- продавец
- версия
- версии
- очень
- с помощью
- Вид
- Уязвимости
- уязвимость
- хотеть
- Вода
- Web
- были
- Что
- , которые
- КТО
- широкий
- Широкий диапазон
- будете
- окна
- бы
- зефирнет
- уязвимости нулевого дня