от Microsoft Июльское обновление безопасности содержит исправления для колоссальных 130 уникальных уязвимостей, пять из которых злоумышленники уже активно используют в дикой природе.
Компания оценила девять недостатков как критические, а 121 из них — как средние или серьезные. Уязвимости затрагивают широкий спектр продуктов Microsoft, включая Windows, Office, .Net, Azure Active Directory, драйверы принтеров, сервер DMS и удаленный рабочий стол. Обновление содержало обычное сочетание недостатков удаленного выполнения кода (RCE), проблем обхода безопасности и повышения привилегий, ошибок раскрытия информации и уязвимостей отказа в обслуживании.
«Этот объем исправлений является самым высоким за последние несколько лет, хотя он"Нет ничего необычного в том, что Microsoft выпустила большое количество патчей прямо перед конференцией Black Hat USA», — сказал Дастин Чайлдс, исследователь безопасности в Trend Micro Zero Day Initiative (ZDI), в своем блоге.
По мнению исследователей безопасности, с точки зрения приоритетов исправлений пять нулевых дней, о которых Microsoft сообщила на этой неделе, заслуживают немедленного внимания.
Наиболее серьезным из них является CVE-2023-36884, ошибка удаленного выполнения кода (RCE) в Office и Windows HTML, для которой у Microsoft не было исправления в обновлении этого месяца. Компания идентифицировала группу угроз, которую она отслеживает, Storm-0978, как использующую уязвимость в фишинговой кампании, нацеленной на правительственные и оборонные организации в Северной Америке и Европе.
В кампании участвует злоумышленник, распространяющий через документы Windows бэкдор, получивший название RomCom, на темы, связанные со Всемирным конгрессом украинцев. «Шторм-0978"Целенаправленные операции затронули правительственные и военные организации в первую очередь в Украине, а также организации в Европе и Северной Америке, потенциально связанные с украинскими делами». Об этом говорится в блоге Microsoft. сообщение, которое сопровождало июльское обновление безопасности. «Выявленные атаки программ-вымогателей затронули, в частности, телекоммуникационную и финансовую отрасли».
Дастин Чайлдс, еще один исследователь из ZDI, предупредил организации, что CVE-2023-36884 следует рассматривать как «критическую» проблему безопасности, хотя сама Microsoft оценила ее как относительно менее серьезную и «важную» ошибку. «Microsoft предприняла странные действия, выпустив эту CVE. без патч. Что"все еще впереди», — написал Чайлдс в своем блоге. «Очевидно, там"в этом подвиге гораздо больше, чем говорят».
Две из пяти уязвимостей, которые активно эксплуатируются, — это недостатки обхода системы безопасности. Один влияет на Microsoft Outlook (CVE-2023-35311), а другой использует Windows SmartScreen (CVE-2023-32049). Обе уязвимости требуют взаимодействия с пользователем, а это означает, что злоумышленник сможет использовать их, только убедив пользователя щелкнуть вредоносный URL-адрес. С CVE-2023-32049 злоумышленник сможет обойти запрос «Открыть файл — предупреждение безопасности», а CVE-2023-35311 дает злоумышленникам возможность скрытно атаковать с помощью запроса «Уведомление о безопасности Microsoft Outlook».
«Важно отметить, что [CVE-2023-35311] специально позволяет обойти функции безопасности Microsoft Outlook и не позволяет выполнять удаленное выполнение кода или повышать привилегии», — сказал Майк Уолтерс, вице-президент по исследованию уязвимостей и угроз в Action1. «Поэтому злоумышленники, скорее всего, комбинируют его с другими эксплойтами для комплексной атаки. Уязвимость затрагивает все версии Microsoft Outlook, начиная с 2013 года», — отметил он в электронном письме Dark Reading.
Кев Брин, директор по исследованию киберугроз в Immersive Labs, оценил другой способ обхода безопасности нулевого дня. - CVE-2023-32049 — как еще одна ошибка, которую злоумышленники, скорее всего, будут использовать в рамках более широкой цепочки атак.
Два других нулевых дня в последнем наборе исправлений Microsoft позволяют повышать привилегии. Одну из них обнаружили исследователи из группы анализа угроз Google. Недостаток, отслеживаемый как CVE-2023-36874, представляет собой проблему повышения привилегий в службе отчетов об ошибках Windows (WER), которая дает злоумышленникам возможность получить административные права в уязвимых системах. Злоумышленнику потребуется локальный доступ к уязвимой системе, чтобы воспользоваться уязвимостью, которую он может получить с помощью других эксплойтов или неправомерного использования учетных данных.
«Служба WER — это функция операционных систем Microsoft Windows, которая автоматически собирает и отправляет отчеты об ошибках в Microsoft, когда определенное программное обеспечение дает сбой или сталкивается с другими типами ошибок», — сказал Том Бойер, исследователь безопасности в Automox. «Эта уязвимость нулевого дня активно эксплуатируется, поэтому, если ваша организация использует WER, мы рекомендуем установить исправление в течение 24 часов», — сказал он.
Другая ошибка повышения привилегий в июльском обновлении безопасности, которую злоумышленники уже активно используют, — это CVE-2023-32046 на платформе Microsoft Windows MSHTM, также известной как механизм рендеринга браузера «Trident». Как и многие другие ошибки, эта тоже требует определенного уровня взаимодействия с пользователем. В сценарии атаки по электронной почте для использования ошибки злоумышленнику необходимо отправить целевому пользователю специально созданный файл и заставить пользователя открыть его. По словам Microsoft, при атаке через Интернет злоумышленнику потребуется разместить вредоносный веб-сайт или использовать скомпрометированный веб-сайт для размещения специально созданного файла, а затем убедить жертву открыть его.
RCE в маршрутизации Windows, служба удаленного доступа
Исследователи безопасности указали на три уязвимости RCE в службе маршрутизации и удаленного доступа Windows (RRAS) (CVE-2023-35365, CVE-2023-35366и CVE-2023-35367) как заслуживающие первоочередного внимания, как и все. Microsoft оценила все три уязвимости как критические, и все три имеют оценку CVSS 9.8. По словам Бойера из Automox, эта служба по умолчанию недоступна в Windows Server и, по сути, позволяет компьютерам под управлением этой ОС функционировать в качестве маршрутизаторов, VPN-серверов и серверов коммутируемого доступа. «Успешный злоумышленник может изменить конфигурацию сети, украсть данные, перейти на другие более важные/важные системы или создать дополнительные учетные записи для постоянного доступа к устройству.
Недостатки сервера SharePoint
Гигантское июльское обновление Microsoft содержало исправления для четырех уязвимостей RCE в сервере SharePoint, который в последнее время стал популярной целью злоумышленников. Microsoft оценила две ошибки как «важные» (CVE-2023-33134 и CVE-2023-33159) а два других как «критические» (CVE-2023-33157 и CVE-2023-33160). «Все они требуют, чтобы злоумышленник прошел аутентификацию или пользователь выполнил действие, которое, к счастью, снижает риск взлома», — сказал Йоав Иеллин, старший научный сотрудник Silverfort. «Несмотря на это, поскольку SharePoint может содержать конфиденциальные данные и обычно предоставляется за пределами организации, те, кто использует локальные или гибридные версии, должны обновиться».
Организации, которые должны соблюдать такие правила, как FEDRAMP, PCI, HIPAA, SOC2 и аналогичные правила, должны обратить внимание на CVE-2023-35332: Обход функции безопасности протокола удаленного рабочего стола Windows, сказал Дор Дали, руководитель отдела исследований Cyolo. По его словам, уязвимость связана с использованием устаревших и устаревших протоколов, в том числе Datagram Transport Layer Security (DTLS) версии 1.0, что представляет существенный риск для безопасности и соответствия требованиям для организаций. По его словам, в ситуациях, когда организация не может немедленно выполнить обновление, им следует отключить поддержку UDP в шлюзе RDP.
Кроме того, Microsoft опубликовал консультативный о своем расследовании недавних сообщений о злоумышленниках, использующих драйверы, сертифицированные Microsoft"s Программа Windows Hardware Developer Program (MWHDP) в активности после эксплойта.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
- Источник: https://www.darkreading.com/application-security/microsoft-discloses–zero-days-in-voluminous-july-security-update
- :имеет
- :является
- :нет
- :куда
- 1
- 2013
- 24
- 7
- 8
- 9
- a
- в состоянии
- О нас
- доступ
- в сопровождении
- По
- Учетные записи
- Действие
- активный
- активно
- деятельность
- актеры
- дополнение
- дополнительный
- административный
- Дела
- влиять на
- ака
- Все
- позволяет
- уже
- Несмотря на то, что
- Америка
- среди
- an
- анализ
- и
- Другой
- МЫ
- AS
- оценивается
- At
- атаковать
- нападки
- внимание
- подлинности
- автоматически
- доступен
- Лазурный
- задняя дверь
- в основном
- BE
- становиться
- до
- не являетесь
- Черный
- Black Hat
- Блог
- изоферменты печени
- нарушение
- шире
- браузер
- Ошибка
- ошибки
- by
- Кампания
- CAN
- не могу
- определенный
- Сертифицированные
- цепь
- явно
- нажмите на
- код
- объединять
- как
- Компания
- Соответствие закону
- соблюдать
- комплексный
- Ослабленный
- компьютеры
- Конференция
- Конгресс
- содержать
- содержащегося
- содержит
- убеждать
- может
- Создайте
- ПОЛНОМОЧИЯ
- критической
- CVE
- кибер-
- темно
- Темное чтение
- данным
- день
- По умолчанию
- Защита
- Отказ в обслуживании
- устарела
- компьютера
- Застройщик
- устройство
- DID
- директор
- Раскрывает
- раскрытие
- открытый
- распределительный
- do
- Документация
- приносит
- драйверы
- дублированный
- включить
- позволяет
- Двигатель
- ошибка
- ошибки
- эскалация
- Европе
- Даже
- выполнение
- Эксплуатировать
- Эксплуатируемый
- эксплуатации
- использует
- подвергаться
- Особенность
- Особенности
- несколько
- Файл
- финансы
- недостаток
- недостатки
- Что касается
- 4
- от
- функция
- Gain
- шлюз
- получить
- дает
- Правительство
- группы
- Аппаратные средства
- имеет
- Есть
- he
- наивысший
- кашель
- ЧАСЫ
- HTML
- HTTPS
- Гибридный
- идентифицированный
- if
- немедленная
- немедленно
- погружение
- влияние
- важную
- in
- В том числе
- промышленности
- информация
- Инициатива
- взаимодействие
- в
- ходе расследования,
- вовлеченный
- вопрос
- вопросы
- IT
- ЕГО
- саму трезвость
- JPG
- июль
- Labs
- большой
- Фамилия
- последний
- слой
- Меньше
- уровень
- Вероятно
- локальным
- серия
- многих
- смысл
- Заслуга
- Microsoft
- Microsoft Windows,
- микрофон
- военный
- смешивать
- изменять
- Месяц
- БОЛЕЕ
- самых
- двигаться
- Необходимость
- сеть
- сеть
- север
- Северная Америка
- отметил,
- Уведомление..
- номер
- of
- Офис
- on
- ONE
- только
- открытый
- операционный
- операционные системы
- Операционный отдел
- or
- организация
- организации
- OS
- Другое
- Другое
- Outlook
- внешнюю
- часть
- Патчи
- Патчи
- Заделка
- ОПЛАТИТЬ
- Выполнять
- фишинг
- фишинговая кампания
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Популярное
- После
- потенциально
- разрабатывает
- президент
- в первую очередь
- приоритетов
- приоритет
- привилегия
- Продукция
- FitPartner™
- протокол
- безопасность протокола
- протоколы
- ассортимент
- вымогателей
- Атаки вымогателей
- номинальный
- Reading
- последний
- недавно
- рекомендовать
- снижает
- правила
- Связанный
- относительно
- выпуска
- удаленные
- удаленный доступ
- оказание
- Reporting
- Отчеты
- требовать
- требуется
- исследованиям
- исследователь
- исследователи
- правую
- правые
- Снижение
- маршрутизация
- Бег
- s
- Сказал
- сценарий
- Гол
- безопасность
- посмотреть
- видел
- Отправить
- посылает
- старший
- чувствительный
- серьезный
- Серверы
- обслуживание
- набор
- тяжелый
- КОРАБЛЬ
- должен
- аналогичный
- обстоятельства
- стащить
- So
- Software
- некоторые
- специально
- конкретно
- точка зрения
- По-прежнему
- существенный
- успешный
- такие
- поддержка
- система
- системы
- приняты
- цель
- целевое
- направлены
- связь
- чем
- который
- Ассоциация
- их
- Их
- тогда
- следовательно
- они
- этой
- На этой неделе
- те
- хоть?
- угроза
- актеры угрозы
- три
- в
- том
- слишком
- Отслеживание
- перевозки
- лечить
- тенденция
- два
- Типы
- Украина
- украинский
- под
- созданного
- Обновление ПО
- URL
- США
- Применение
- использование
- используемый
- Информация о пользователе
- через
- обычно
- Ve
- версия
- версии
- с помощью
- вице
- вице-президент
- Жертва
- объем
- VPN
- Уязвимости
- уязвимость
- Уязвимый
- предупреждение
- Путь..
- we
- Web-Based
- Вебсайт
- неделя
- ЧТО Ж
- когда
- , которые
- в то время как
- КТО
- широкий
- Широкий диапазон
- Дикий
- будете
- окна
- в
- Мир
- бы
- писал
- лет
- ВАШЕ
- зефирнет
- нуль
- Zero Day