Microsofts planerade säkerhetsuppdatering för Patch Tuesday för februari innehåller korrigeringar för två nolldagars säkerhetssårbarheter under aktiv attack, plus 71 andra brister i ett stort antal av dess produkter.
Sammanlagt bedömdes fem av de sårbarheter som Microsoft utfärdade en patch för i februari som kritiska, 66 som viktiga och två som måttliga.
Smakämnen uppdateringen innehåller patchar för Microsoft Office, Windows, Microsoft Exchange Server, företagets Chromium-baserade Edge-webbläsare, Azure Active Directory, Microsoft Defender for Endpoint och Skype för företag. Tenable identifierade 30 av de 73 CVE:erna som sårbarheter för fjärrkörning av kod (RCE); 16 som möjliggör eskalering av privilegier; 10 som knuten till spoofingfel; nio som möjliggör distribuerade denial-of-service-attacker; fem som informationsutlämnande brister; och tre som säkerhetsproblem.
Vatten Hydra utnyttjar Zero-Days inriktat på finansiella handlare
En hotaktör kallad Water Hydra (alias Dark Casino) utnyttjar för närvarande en av nolldagssårbarheterna – en Säkerhetsfunktionen för Internet Genvägsfiler förbigår sårbarheten spåras som CVE-2024-21412 (CVSS 8.1) — i en skadlig kampanj riktad mot organisationer inom finanssektorn.
Forskare vid Trend Micro – bland flera som upptäckte och rapporterade felet till Microsoft – beskrev det som kopplat till en förbikoppling av en tidigare patchad SmartScreen-sårbarhet (CVE-2023-36025, CVSS 8.8) och påverkar alla Windows-versioner som stöds. Water Hydra-aktörer använder CVE-2024-21412 för att få första tillgång till system som tillhör finansiella handlare och släppa DarkMe-trojanen med fjärråtkomst på dem.
För att utnyttja sårbarheten skulle en angripare först behöva leverera en skadlig fil till en riktad användare och få dem att öppna den, sa Saeed Abbasi, chef för sårbarhetsforskare på Qualys, i en e-postkommentar. "Inverkan av denna sårbarhet är djupgående, äventyrar säkerheten och undergräver förtroendet för skyddsmekanismer som SmartScreen," sa Abbasi.
SmartScreen Bypass Zero-Day
Den andra nolldagen som Microsoft avslöjade i månadens säkerhetsuppdatering påverkar Defender SmartScreen. Enligt Microsoft, CVE-2024-21351 är en medelsvår bugg som gör att en angripare kan kringgå SmartScreen-skydd och injicera kod i det för att potentiellt få möjlighet att köra fjärrkod. En framgångsrik exploatering kan leda till begränsad dataexponering, problem med systemtillgänglighet eller bådadera, sa Microsoft. Det finns inga uppgifter om vem som kan utnyttja felet och i vilket syfte.
I förberedda kommentarer för Dark Reading sa Mike Walters, VD och medgrundare av Action1, att sårbarheten är kopplad till det sätt på vilket Microsofts Mark of the Web (en funktion för att identifiera opålitligt innehåll från Internet) interagerar med SmartScreen-funktionen. "För denna sårbarhet måste en angripare distribuera en skadlig fil till en användare och övertala dem att öppna den, så att de kan kringgå SmartScreen-kontrollerna och potentiellt äventyra systemets säkerhet," sa Walters.
Högprioriterade buggar
Bland de fem kritiska sårbarheterna i februariuppdateringen är den som kräver prioriterad uppmärksamhet CVE-2024-21410, en sårbarhet för eskalering av rättigheter i Exchange Server, ett favoritmål för angripare. En angripare kan använda felet för att avslöja en riktad användares Net-New Technology LAN Manager (NTLM) version 2-hash och sedan vidarebefordra den autentiseringsinformationen mot en påverkad Exchange-server och autentisera den som användaren.
Sådana brister som avslöjar känslig information som NTLM-haschar kan vara mycket värdefulla för angripare, säger Satnam Narang, senior forskningsingenjör på Tenable i ett uttalande. "En ryskbaserad hotaktör utnyttjade en liknande sårbarhet för att utföra attacker - CVE-2023-23397 är en sårbarhet Elevation of Privilege i Microsoft Outlook som korrigerades i mars 2023", sa han.
För att åtgärda felet måste Exchange-administratörer se till att de har installerat uppdateringen Exchange Server 2019 Cumulative Update 14 (CU14) och se till att funktionen Extended Protection for Authentication (EPA) är aktiverad, sa Trend Micro. Säkerhetsförsäljaren pekade på en artikel som Microsoft har publicerat som ger ytterligare information om hur man korrigerar sårbarheten.
Microsoft har tilldelat CVE-2024-21410 en maximal allvarlighetsgrad på 9.1 av 10, vilket gör det till en kritisk sårbarhet. Men typiskt sett tenderar sårbarheter med privilegieupptrappning att få relativt låga poäng på CVSS-sårbarhetsskalan, vilket motsäger den sanna naturen hos hotet de utgör, säger Kev Breen, senior chef för hotforskning på Immersive Labs. "Trots deras låga poäng är sårbarheter [eskalering av privilegier] mycket eftertraktade av hotaktörer och används i nästan varje cyberincident", sa Breen i ett uttalande. "När en angripare har tillgång till ett användarkonto genom social ingenjörskonst eller någon annan attack, kommer de att försöka eskalera sina behörigheter antingen till lokal administratör eller domänadministratör."
Walters från Action1 framhävd CVE-2024-21413, ett RCE-fel i Microsoft Outlook som en sårbarhet som administratörer kanske vill prioritera från februaris batch. Det kritiska allvarlighetsfelet med en nästan maximal allvarlighetsgrad på 9.8 innebär låg attackkomplexitet, ingen användarinteraktion och inga speciella privilegier som krävs för att en angripare ska kunna utnyttja den. "En angripare kan utnyttja den här sårbarheten via förhandsgranskningsfönstret i Outlook, så att de kan kringgå Office Protected View och tvinga filer att öppna i redigeringsläge, snarare än i det säkrare skyddade läget," sa Walters.
Microsoft identifierade själva sårbarheten som något som angripare är mindre benägna att attackera. Ändå sa Walters att sårbarheten utgör ett betydande hot för organisationer och kräver omedelbar uppmärksamhet.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/vulnerabilities-threats/attackers-exploit-microsoft-security-bypass-zero-day-bugs
- : har
- :är
- 1
- 10
- 14
- 16
- 2019
- 2023
- 30
- 66
- 7
- 8
- 9
- a
- tillgång
- Enligt
- Konto
- tvärs
- aktiv
- aktörer
- Annat
- ytterligare information
- administration
- administratörer
- påverkas
- påverkar
- Efter
- mot
- aka
- Alla
- tillåta
- tillåter
- nästan
- bland
- an
- och
- ÄR
- AS
- delad
- At
- attackera
- angripare
- Attacker
- uppmärksamhet
- autentisera
- Autentisering
- tillgänglighet
- tillgänglig
- Azure
- BE
- som tillhör
- båda
- webbläsare
- Bug
- fel
- företag
- men
- by
- bypass
- Kampanj
- KAN
- kapacitet
- bära
- Kasino
- Kontroller
- kringgå
- Medgrundare
- koda
- kommentar
- kommentarer
- företag
- Komplexiteten
- kompromiss
- komprometterande
- innehåll
- kunde
- CREDENTIAL
- kritisk
- För närvarande
- cyber
- mörkt
- Mörk läsning
- datum
- leverera
- beskriven
- Trots
- detaljer
- Direktör
- katalog
- Avslöja
- avslöjande
- upptäckt
- distribuera
- distribueras
- domän
- Drop
- dubbade
- kant
- antingen
- aktiverad
- möjliggör
- Slutpunkt
- ingenjör
- Teknik
- säkerställa
- EPA
- fel
- eskalera
- eskalering
- Varje
- exakt
- utbyta
- utförande
- Exploit
- utnyttja
- bedrifter
- Exponering
- förlängas
- Favoriten
- Leverans
- Februari
- Fil
- Filer
- finansiella
- Finansiell sektor
- Förnamn
- fem
- fast
- fel
- brister
- För
- kraft
- från
- Få
- skaffa sig
- hash
- Har
- he
- Markerad
- höggradigt
- Hur ser din drömresa ut
- How To
- HTTPS
- identifierade
- identifiera
- uppslukande
- Inverkan
- med Esport
- in
- incident
- innefattar
- informationen
- inledande
- injicerbart
- installerad
- interaktion
- interagerar
- Internet
- in
- innebär
- Utfärdad
- problem
- IT
- DESS
- sig
- jpg
- Labs
- leda
- mindre
- belånade
- hävstångs
- tycka om
- sannolikt
- Begränsad
- lokal
- Låg
- GÖR
- skadlig
- chef
- sätt
- Mars
- markera
- maximal
- mekanismer
- mikro
- Microsoft
- kanske
- Mike
- Mode
- måttlig
- Månad
- måste
- Natur
- Nära
- Behöver
- Icke desto mindre
- Nästa
- nio
- Nej
- of
- Office
- on
- gång
- ONE
- öppet
- or
- organisationer
- Övriga
- ut
- utsikterna
- panelen
- Lappa
- Patch Tisdag
- behörigheter
- plato
- Platon Data Intelligence
- PlatonData
- plus
- utgör
- potentiellt
- beredd
- presentera
- VD
- Förhandsvisning
- tidigare
- Prioritera
- prioritet
- privilegium
- privilegier
- Produkter
- djupgående
- skyddad
- skydd
- Skyddande
- ger
- Syftet
- område
- Topplista
- snarare
- betyg
- Läsning
- relativt
- avlägsen
- fjärråtkomst
- Rapporterad
- Obligatorisk
- Kräver
- forskning
- forskaren
- s
- säkrare
- Nämnda
- Skala
- planerad
- göra
- sektor
- säkerhet
- Seek
- senior
- känslig
- server
- flera
- liknande
- Skype
- Social hållbarhet
- Samhällsteknik
- några
- något
- eftersträvas
- speciell
- Sponsrade
- Personal
- .
- väsentlig
- framgångsrik
- Som stöds
- system
- System
- Målet
- riktade
- targeting
- Teknologi
- Tend
- än
- den där
- Smakämnen
- deras
- Dem
- sedan
- de
- detta
- hot
- hotaktörer
- tre
- Genom
- Bunden
- till
- handlare
- Trend
- Trojan
- sann
- Litar
- Tisdag
- två
- typiskt
- under
- Uppdatering
- användning
- Begagnade
- Användare
- med hjälp av
- Värdefulla
- leverantör
- version
- versioner
- mycket
- via
- utsikt
- sårbarheter
- sårbarhet
- vill
- Vatten
- webb
- były
- Vad
- som
- VEM
- bred
- Brett utbud
- kommer
- fönster
- med
- skulle
- zephyrnet
- nolldagars sårbarheter