Microsoft avslöjar 5 nolldagar i omfattande säkerhetsuppdatering i juli

Microsofts Säkerhetsuppdatering i juli innehåller korrigeringar för hela 130 unika sårbarheter, varav fem angripare redan aktivt utnyttjar i det vilda.

Företaget bedömde nio av bristerna som av kritisk svårighetsgrad och 121 av dem som måttliga eller viktiga. Sårbarheterna påverkar ett brett utbud av Microsoft-produkter inklusive Windows, Office, .Net, Azure Active Directory, skrivardrivrutiner, DMS Server och Remote Desktop. Uppdateringen innehöll den vanliga blandningen av RCE-brister (Remote Code Execution), problem med säkerhetsbypass och privilegieeskalering, buggar med informationsavslöjande och sårbarheter för överbelastning av tjänster.

"Den här volymen av korrigeringar är den högsta vi har sett under de senaste åren, även om det är så'Det är inte ovanligt att se Microsoft skicka ett stort antal patchar precis innan Black Hat USA-konferensen, säger Dustin Childs, säkerhetsforskare vid Trend Micros Zero Day Initiative (ZDI), i ett blogginlägg.

Ur en patchprioriteringssynpunkt förtjänar de fem nolldagar som Microsoft avslöjade denna vecka omedelbar uppmärksamhet, enligt säkerhetsforskare.

Den allvarligaste av dem är CVE-2023-36884, ett RCE-fel (Remote Code Execution) i Office och Windows HTML, som Microsoft inte hade en patch för i månadens uppdatering. Företaget identifierade en hotgrupp som det spårar, Storm-0978, som utnyttjar bristen i en nätfiskekampanj riktad mot myndigheter och försvarsorganisationer i Nordamerika och Europa.

Kampanjen går ut på att hotaktören distribuerar en bakdörr, kallad RomCom, via Windows-dokument med teman relaterade till den ukrainska världskongressen. "Storm-0978's riktade operationer har påverkat statliga och militära organisationer främst i Ukraina, såväl som organisationer i Europa och Nordamerika som potentiellt är involverade i ukrainska angelägenheter. sa Microsoft i en blogg inlägg som åtföljde säkerhetsuppdateringen i juli. "Identifierade ransomware-attacker har påverkat bland annat telekommunikations- och finansbranschen."

Dustin Childs, en annan forskare vid ZDI, varnade organisationer för att behandla CVE-2023-36884 som ett "kritiskt" säkerhetsproblem även om Microsoft själva har bedömt det som ett relativt mindre allvarligt, "viktigt" fel. "Microsoft har vidtagit den udda åtgärden att släppa denna CVE utan en lapp. Den där'kommer fortfarande”, skrev Childs i ett blogginlägg. "Det är klart, där'Det här utnyttjar mycket mer än vad som sägs.”

Två av de fem sårbarheter som aktivt utnyttjas är säkerhetsbypass-brister. En påverkar Microsoft Outlook (CVE-2023-35311) och den andra involverar Windows SmartScreen (CVE-2023-32049). Båda sårbarheterna kräver användarinteraktion, vilket innebär att en angripare endast skulle kunna utnyttja dem genom att övertyga en användare att klicka på en skadlig URL. Med CVE-2023-32049 skulle en angripare kunna kringgå prompten Öppna fil – Säkerhetsvarning, medan CVE-2023-35311 ger angripare ett sätt att smyga sina attacker med prompten Microsoft Outlook Security Notice.

"Det är viktigt att notera att [CVE-2023-35311] specifikt tillåter förbikoppling av Microsoft Outlook-säkerhetsfunktioner och möjliggör inte fjärrkörning av kod eller privilegieskalering", säger Mike Walters, vice vd för sårbarhets- och hotforskning på Action1. "Därför kommer angripare sannolikt att kombinera det med andra utnyttjande för en omfattande attack. Sårbarheten påverkar alla versioner av Microsoft Outlook från 2013 och framåt”, noterade han i ett mejl till Dark Reading.

Kev Breen, chef för cyberhotsforskning vid Immersive Labs, bedömde den andra säkerhetsförbikopplingen noll-dag - CVE-2023-32049 — som en annan bugg som hotaktörer med största sannolikhet kommer att använda som en del av en bredare attackkedja.

De två andra nolldagarna i Microsofts senaste uppsättning patchar möjliggör båda privilegieskalering. Forskare vid Googles Threat Analysis Group upptäckte en av dem. Felet, spåras som CVE-2023-36874, är ett problem med privilegiering i tjänsten Windows Error Reporting (WER) som ger angripare ett sätt att få administrativa rättigheter på sårbara system. En angripare skulle behöva lokal åtkomst till ett påverkat system för att utnyttja felet, vilket de kan få genom andra utnyttjande eller genom missbruk av autentiseringsuppgifter.

"WER-tjänsten är en funktion i Microsoft Windows-operativsystem som automatiskt samlar in och skickar felrapporter till Microsoft när viss programvara kraschar eller stöter på andra typer av fel", säger Tom Bowyer, säkerhetsforskare på Automox. "Denna nolldagarssårbarhet utnyttjas aktivt, så om WER används av din organisation rekommenderar vi patchning inom 24 timmar", sa han.

Den andra buggen för höjning av privilegier i säkerhetsuppdateringen i juli som angripare redan aktivt utnyttjar är CVE-2023-32046 i Microsofts Windows MSHTM-plattform, alias "Trident" webbläsarrenderingsmotorn. Som med många andra buggar, kräver även denna en viss nivå av användarinteraktion. I ett e-postattackscenario för att utnyttja felet, skulle en angripare behöva skicka en riktad användare en specialgjord fil och få användaren att öppna den. I en webbaserad attack skulle en angripare behöva vara värd för en skadlig webbplats - eller använda en komprometterad - för att vara värd för en specialgjord fil och sedan övertyga ett offer att öppna den, sa Microsoft.

RCE:er i Windows Routing, Remote Access Service

Säkerhetsforskare pekade på tre RCE-sårbarheter i Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366och CVE-2023-35367) som förtjänar prioriterad uppmärksamhet som alla. Microsoft har bedömt alla tre sårbarheterna som kritiska och alla tre har ett CVSS-poäng på 9.8. Tjänsten är inte tillgänglig som standard på Windows Server och gör i princip att datorer som kör operativsystemet kan fungera som routrar, VPN-servrar och uppringda servrar, säger Automox's Bowyer. "En framgångsrik angripare kan ändra nätverkskonfigurationer, stjäla data, flytta till andra mer kritiska/viktiga system eller skapa ytterligare konton för beständig åtkomst till enheten."

SharePoint Server brister

Microsofts maffiga juliuppdatering innehöll korrigeringar för fyra RCE-sårbarheter i SharePoint-servern, som nyligen har blivit ett populärt angriparmål. Microsoft bedömde två av buggarna som "viktiga" (CVE-2023-33134 och CVE-2023-33159) och de andra två som "kritiska" (CVE-2023-33157 och CVE-2023-33160). "Alla av dem kräver att angriparen är autentiserad eller att användaren utför en åtgärd som lyckligtvis minskar risken för ett intrång", säger Yoav Iellin, seniorforskare på Silverfort. "Ändå, eftersom SharePoint kan innehålla känslig data och vanligtvis exponeras utanför organisationen, bör de som använder de lokala eller hybridversionerna uppdatera."

Organisationer som måste följa bestämmelser som FEDRAMP, PCI, HIPAA, SOC2 och liknande bestämmelser bör uppmärksamma CVE-2023-35332: en säkerhetsfunktion för Windows Remote Desktop Protocol Bypass-fel, säger Dor Dali, forskningschef på Cyolo. Sårbarheten har att göra med användningen av föråldrade och föråldrade protokoll, inklusive Datagram Transport Layer Security (DTLS) version 1.0, som utgör en betydande säkerhets- och efterlevnadsrisk för organisationer, sade han. I situationer där en organisation inte omedelbart kan uppdatera bör de inaktivera UDP-stöd i RDP-gatewayen, sa han.

Dessutom Microsoft publicerade en rådgivande om sin undersökning av de senaste rapporterna om hotaktörer som använder förare certifierade enligt Microsoft's Windows Hardware Developer Program (MWHDP) i aktivitet efter exploateringen.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Fordon / elbilar, Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• BlockOffsets. Modernisera miljökompensation ägande. Tillgång här.
• Källa: https://www.darkreading.com/application-security/microsoft-discloses–zero-days-in-voluminous-july-security-update