Microsoft razkriva 5 ničelnih dni v obsežni julijski varnostni posodobitvi

Microsoft razkriva 5 ničelnih dni v obsežni julijski varnostni posodobitvi

Časovni žig: 11. julij 2023 6
Microsoft Discloses 5 Zero-Days in Voluminous July Security Update PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Microsoftova Julijska varnostna posodobitev vsebuje popravke za neverjetnih 130 edinstvenih ranljivosti, od katerih jih pet napadalci že aktivno izkoriščajo v naravi.

Podjetje je ocenilo devet pomanjkljivosti kot kritične resnosti in 121 od njih kot zmerno ali pomembno resnost. Ranljivosti vplivajo na široko paleto Microsoftovih izdelkov, vključno z Windows, Office, .Net, Azure Active Directory, gonilniki tiskalnikov, strežnikom DMS in oddaljenim namizjem. Posodobitev je vsebovala običajno mešanico napak pri oddaljenem izvajanju kode (RCE), težav z varnostnim obvodom in stopnjevanjem privilegijev, napak pri razkrivanju informacij in ranljivosti pri zavrnitvi storitve.

»Ta obseg popravkov je največji, kar smo jih videli v zadnjih nekaj letih, čeprav je"Ni nenavadno videti, da Microsoft pošlje veliko število popravkov tik pred konferenco Black Hat USA,« je v objavi na spletnem dnevniku povedal Dustin Childs, varnostni raziskovalec pri Trend Micro's Zero Day Initiative (ZDI).

S stališča določanja prednosti popravkov si po mnenju varnostnih raziskovalcev pet dni nič, ki jih je Microsoft razkril ta teden, zasluži takojšnjo pozornost.

Najresnejši med njimi je CVE-2023-36884, napaka oddaljenega izvajanja kode (RCE) v Officeu in Windows HTML, za katero Microsoft v posodobitvi tega meseca ni imel popravka. Podjetje je prepoznalo skupino groženj, ki ji sledi, Storm-0978, ki izkorišča napako v kampanji lažnega predstavljanja, ki cilja na vladne in obrambne organizacije v Severni Ameriki in Evropi.

Kampanja vključuje akterja grožnje, ki prek dokumentov Windows distribuira backdoor, imenovan RomCom, s temami, povezanimi z Ukrajinskim svetovnim kongresom. "Nevihta-0978"Ciljne operacije so vplivale na vladne in vojaške organizacije predvsem v Ukrajini, pa tudi na organizacije v Evropi in Severni Ameriki, ki bi lahko bile vpletene v ukrajinske zadeve,« Microsoft je dejal v blogu objava, ki je spremljala julijsko varnostno posodobitev. "Identificirani napadi izsiljevalske programske opreme so med drugim vplivali na telekomunikacijsko in finančno industrijo."

Dustin Childs, drugi raziskovalec pri ZDI, je opozoril organizacije, naj obravnavajo CVE-2023-36884 kot "kritično" varnostno težavo, čeprav jo je sam Microsoft ocenil kot relativno manj resno, "pomembno" napako. »Microsoft je izdal ta CVE na čuden način brez obliž. to"še pride,« je zapisal Childs v objavi na blogu. »Jasno, tam"veliko več za to izkoriščanje, kot se govori.«

Dve od petih ranljivosti, ki se aktivno izkoriščajo, sta napaki varnostnega obvoda. Eden vpliva na Microsoft Outlook (CVE-2023-35311), drugi pa vključuje Windows SmartScreen (CVE-2023-32049). Obe ranljivosti zahtevata interakcijo uporabnika, kar pomeni, da bi ju napadalec lahko izkoristil samo tako, da bi uporabnika prepričal, da klikne na zlonamerni URL. S CVE-2023-32049 bi napadalec lahko zaobšel poziv Odpri datoteko – Varnostno opozorilo, medtem ko CVE-2023-35311 napadalcem omogoča, da prikradejo svoj napad s pozivom Microsoft Outlook Security Notice.

»Pomembno je omeniti, da [CVE-2023-35311] izrecno dovoljuje izogibanje varnostnim funkcijam Microsoft Outlooka in ne omogoča oddaljenega izvajanja kode ali stopnjevanja privilegijev,« je povedal Mike Walters, podpredsednik raziskave ranljivosti in groženj pri Action1. »Zato ga bodo napadalci verjetno združili z drugimi podvigi za celovit napad. Ranljivost vpliva na vse različice Microsoft Outlooka od leta 2013 dalje,« je zapisal v e-poštnem sporočilu Dark Readingu.

Kev Breen, direktor raziskav kibernetskih groženj pri Immersive Labs, je ocenil drugi varnostni obvod zero-day - CVE-2023-32049 — kot še en hrošč, ki ga bodo akterji groženj najverjetneje uporabili kot del širše verige napadov.

Druga dva ničelna dneva v najnovejšem Microsoftovem kompletu popravkov omogočata stopnjevanje privilegijev. Raziskovalci Googlove skupine za analizo groženj so odkrili enega izmed njih. Napaka, sledena kot CVE-2023-36874, je težava s povišanjem privilegijev v storitvi Windows Error Reporting (WER), ki napadalcem omogoča, da pridobijo skrbniške pravice v ranljivih sistemih. Napadalec bi potreboval lokalni dostop do prizadetega sistema, da bi izkoristil napako, ki bi jo lahko pridobil z drugimi podvigi ali z zlorabo poverilnic.

»Storitev WER je funkcija v operacijskih sistemih Microsoft Windows, ki samodejno zbira in pošilja poročila o napakah Microsoftu, ko se določena programska oprema zruši ali naleti na druge vrste napak,« je povedal Tom Bowyer, varnostni raziskovalec pri Automoxu. »Ta ranljivost ničelnega dne se aktivno izkorišča, tako da, če vaša organizacija uporablja WER, priporočamo popravek v 24 urah,« je dejal.

Druga napaka pri dvigovanju privilegijev v julijski varnostni posodobitvi, ki jo napadalci že aktivno izkoriščajo, je CVE-2023-32046 v Microsoftovi platformi Windows MSHTM, imenovani tudi "Trident" motor upodabljanja brskalnika. Kot pri mnogih drugih hroščih tudi ta zahteva določeno raven interakcije uporabnika. V scenariju napada po e-pošti, da bi izkoristil napako, bi moral napadalec ciljnemu uporabniku poslati posebej oblikovano datoteko in uporabnika prepričati, da jo odpre. V spletnem napadu bi moral napadalec gostiti zlonamerno spletno stran - ali uporabiti ogroženo - za gostovanje posebej oblikovane datoteke in nato prepričati žrtev, da jo odpre, je dejal Microsoft.

RCE-ji v sistemu Windows Routing, storitev oddaljenega dostopa

Varnostni raziskovalci so opozorili na tri ranljivosti RCE v storitvi Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366in CVE-2023-35367) si zasluži prednostno pozornost kot vse. Microsoft je vse tri ranljivosti ocenil kot kritične in vse tri imajo oceno CVSS 9.8. Storitev ni privzeto na voljo v strežniku Windows Server in v bistvu omogoča računalnikom, ki poganjajo OS, da delujejo kot usmerjevalniki, strežniki VPN in strežniki na klic, je dejal Bowyer iz Automoxa. »Uspešen napadalec bi lahko spremenil omrežne konfiguracije, ukradel podatke, se premaknil na druge bolj kritične/pomembnejše sisteme ali ustvaril dodatne račune za trajen dostop do naprave."

Napake strežnika SharePoint

Microsoftova ogromna julijska posodobitev je vsebovala popravke za štiri ranljivosti RCE v strežniku SharePoint, ki je v zadnjem času postal priljubljena tarča napadalcev. Microsoft je dve napaki ocenil kot "pomembni" (CVE-2023-33134 in CVE-2023-33159) druga dva pa kot "kritična" (CVE-2023-33157 in CVE-2023-33160). "Vsi od njih zahtevajo, da je napadalec overjen ali da uporabnik izvede dejanje, ki na srečo zmanjša tveganje kršitve," je dejal Yoav Iellin, višji raziskovalec pri Silverfortu. "Kljub temu, ker lahko SharePoint vsebuje občutljive podatke in je običajno izpostavljen zunaj organizacije, bi morali tisti, ki uporabljajo lokalno ali hibridno različico, posodobiti."

Organizacije, ki morajo upoštevati predpise, kot so FEDRAMP, PCI, HIPAA, SOC2 in podobni predpisi, morajo biti pozorne na CVE-2023-35332: Dor Dali, vodja raziskav pri Cyolo, je dejal, da gre za napako obhoda varnostne funkcije protokola oddaljenega namizja Windows. Ranljivost je povezana z uporabo zastarelih in opuščenih protokolov, vključno z Datagram Transport Layer Security (DTLS) različice 1.0, ki za organizacije predstavlja veliko tveganje glede varnosti in skladnosti, je dejal. V primerih, ko organizacija ne more takoj posodobiti, bi morala onemogočiti podporo UDP v prehodu RDP, je dejal.

Poleg tega Microsoft objavil svetovanje o svoji preiskavi nedavnih poročil o akterjih groženj, ki uporabljajo gonilnike, ki jih je potrdil Microsoft"s Windows Hardware Developer Program (MWHDP) v dejavnosti po izkoriščanju.

Časovni žig:

Več od Temno branje