Microsoft เปิดเผย 5 Zero-Days ในการอัปเดตความปลอดภัยเดือนกรกฎาคม

ไมโครซอฟท์ การอัปเดตความปลอดภัยในเดือนกรกฎาคม มีการแก้ไขสำหรับช่องโหว่ที่ไม่ซ้ำกันมากถึง 130 รายการ ซึ่งห้าช่องโหว่นั้นผู้โจมตีกำลังโจมตีช่องโหว่อยู่แล้ว

บริษัทจัดอันดับข้อบกพร่อง 121 รายการว่ามีความรุนแรงระดับวิกฤต และ XNUMX รายการมีระดับความรุนแรงปานกลางหรือสำคัญ ช่องโหว่ดังกล่าวส่งผลกระทบต่อผลิตภัณฑ์ Microsoft หลากหลายประเภท ได้แก่ Windows, Office, .Net, Azure Active Directory, ไดรเวอร์เครื่องพิมพ์, เซิร์ฟเวอร์ DMS และเดสก์ท็อประยะไกล การอัปเดตประกอบด้วยข้อบกพร่องของ Remote Code Execution (RCE) ตามปกติ ปัญหาการเลี่ยงผ่านความปลอดภัยและการเพิ่มระดับสิทธิ์ ข้อผิดพลาดในการเปิดเผยข้อมูล และช่องโหว่ในการปฏิเสธบริการ

“ปริมาณการแก้ไขนี้สูงที่สุดที่เราเคยเห็นในช่วงไม่กี่ปีที่ผ่านมา แม้ว่าจะเป็นอย่างนั้นก็ตาม'ไม่ใช่เรื่องแปลกที่ Microsoft จะจัดส่งแพตช์จำนวนมากก่อนการประชุม Black Hat USA” Dustin Childs นักวิจัยด้านความปลอดภัยของ Zero Day Initiative (ZDI) ของ Trend Micro กล่าวในบล็อกโพสต์

จากมุมมองการจัดลำดับความสำคัญของแพตช์ ห้าศูนย์วันที่ Microsoft เปิดเผยในสัปดาห์นี้ได้รับความสนใจในทันที นักวิจัยด้านความปลอดภัยระบุ

ที่ร้ายแรงที่สุดคือ CVE-2023-36884ซึ่งเป็นบั๊ก Remote Code Execution (RCE) ใน Office และ Windows HTML ซึ่ง Microsoft ไม่มีแพตช์สำหรับการอัปเดตในเดือนนี้ บริษัทระบุกลุ่มภัยคุกคามที่กำลังติดตาม Storm-0978 โดยใช้ประโยชน์จากช่องโหว่ในแคมเปญฟิชชิ่งที่กำหนดเป้าหมายรัฐบาลและองค์กรป้องกันในอเมริกาเหนือและยุโรป

แคมเปญนี้เกี่ยวข้องกับผู้คุกคามที่เผยแพร่แบ็คดอร์ที่มีชื่อว่า RomCom ผ่านเอกสาร Windows ที่มีธีมเกี่ยวกับ Ukrainian World Congress “สตอร์ม-0978'ปฏิบัติการที่กำหนดเป้าหมายได้ส่งผลกระทบต่อรัฐบาลและองค์กรทางทหารในยูเครนเป็นหลัก เช่นเดียวกับองค์กรในยุโรปและอเมริกาเหนือที่อาจเกี่ยวข้องกับกิจการของยูเครน” Microsoft กล่าวในบล็อก โพสต์ที่มาพร้อมกับการอัปเดตความปลอดภัยในเดือนกรกฎาคม “การโจมตีด้วยแรนซัมแวร์ที่ระบุได้ส่งผลกระทบต่ออุตสาหกรรมโทรคมนาคมและการเงิน และอื่นๆ”

Dustin Childs นักวิจัยอีกคนของ ZDI เตือนองค์กรต่างๆ ให้ถือว่า CVE-2023-36884 เป็นปัญหาด้านความปลอดภัยที่ “ร้ายแรง” แม้ว่า Microsoft เองจะประเมินว่าเป็นข้อบกพร่องที่ “สำคัญ” ที่ค่อนข้างรุนแรงน้อยกว่าก็ตาม “Microsoft ได้ดำเนินการที่แปลกประหลาดในการเผยแพร่ CVE นี้ ไม่มี แพทช์ ที่'ยังมาไม่ถึง” Childs เขียนในบล็อกโพสต์ “เห็นได้ชัดว่านั่น'มากไปกว่าการหาประโยชน์นี้มากกว่าที่จะพูด”

ช่องโหว่ XNUMX ใน XNUMX รายการที่ถูกโจมตีอย่างต่อเนื่องคือช่องโหว่ด้านความปลอดภัย มีผลกับ Microsoft Outlook (CVE-2023-35311) และอื่นๆ ที่เกี่ยวข้องกับ Windows SmartScreen (CVE-2023-32049). ช่องโหว่ทั้งสองนี้จำเป็นต้องมีการโต้ตอบจากผู้ใช้ ซึ่งหมายความว่าผู้โจมตีจะสามารถใช้ประโยชน์จากช่องโหว่เหล่านี้ได้โดยการโน้มน้าวให้ผู้ใช้คลิกที่ URL ที่เป็นอันตรายเท่านั้น ด้วย CVE-2023-32049 ผู้โจมตีจะสามารถข้ามการแจ้งเปิดไฟล์ – คำเตือนความปลอดภัยได้ ในขณะที่ CVE-2023-35311 ช่วยให้ผู้โจมตีสามารถแอบโจมตีด้วยข้อความแจ้งเตือนด้านความปลอดภัยของ Microsoft Outlook

“สิ่งสำคัญคือต้องทราบว่า [CVE-2023-35311] อนุญาตโดยเฉพาะให้ข้ามคุณสมบัติการรักษาความปลอดภัยของ Microsoft Outlook และไม่เปิดใช้งานการเรียกใช้โค้ดจากระยะไกลหรือการเพิ่มระดับสิทธิ์” Mike Walters รองประธานฝ่ายวิจัยช่องโหว่และภัยคุกคามของ Action1 กล่าว “ดังนั้น ผู้โจมตีจึงมีแนวโน้มที่จะรวมเข้ากับการหาประโยชน์อื่นๆ เพื่อการโจมตีแบบครอบคลุม ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Microsoft Outlook ทุกรุ่นตั้งแต่ปี 2013 เป็นต้นไป” เขาระบุในอีเมลถึง Dark Reading

Kev Breen ผู้อำนวยการฝ่ายวิจัยภัยคุกคามทางไซเบอร์ที่ Immersive Labs ประเมินการเลี่ยงผ่านความปลอดภัยอื่นๆ แบบ Zero-day - CVE-2023-32049 — เป็นอีกหนึ่งข้อบกพร่องที่ผู้คุกคามมักจะใช้เป็นส่วนหนึ่งของห่วงโซ่การโจมตีที่กว้างขึ้น

Zero-days อีกสองตัวในแพตช์ชุดล่าสุดของ Microsoft ทั้งคู่เปิดใช้งานการเพิ่มระดับสิทธิ์ นักวิจัยจาก Threat Analysis Group ของ Google ค้นพบหนึ่งในนั้น ข้อบกพร่องติดตามเป็น CVE-2023-36874เป็นการยกระดับปัญหาสิทธิ์ในบริการ Windows Error Reporting (WER) ที่ช่วยให้ผู้โจมตีได้รับสิทธิ์ในการดูแลระบบบนระบบที่มีช่องโหว่ ผู้โจมตีจะต้องเข้าถึงระบบที่ได้รับผลกระทบในพื้นที่เพื่อใช้ประโยชน์จากข้อบกพร่อง ซึ่งพวกเขาสามารถได้รับจากการโจมตีอื่น ๆ หรือผ่านการใช้ข้อมูลประจำตัวในทางที่ผิด

“บริการ WER เป็นคุณสมบัติในระบบปฏิบัติการ Microsoft Windows ที่รวบรวมและส่งรายงานข้อผิดพลาดไปยัง Microsoft โดยอัตโนมัติ เมื่อซอฟต์แวร์บางตัวขัดข้องหรือพบข้อผิดพลาดประเภทอื่นๆ” Tom Bowyer นักวิจัยด้านความปลอดภัยของ Automox กล่าว “ช่องโหว่ Zero-day นี้กำลังถูกใช้อย่างแข็งขัน ดังนั้นหากองค์กรของคุณใช้ WER เราขอแนะนำให้แก้ไขภายใน 24 ชั่วโมง” เขากล่าว

จุดบกพร่องอื่น ๆ ของการยกระดับสิทธิ์ในการอัปเดตความปลอดภัยเดือนกรกฎาคมที่ผู้โจมตีกำลังโจมตีอยู่ในขณะนี้คือ CVE-2023-32046 ในแพลตฟอร์ม Windows MSHTM ของ Microsoft หรือที่รู้จักในชื่อเครื่องมือแสดงผลเบราว์เซอร์ “Trident” เช่นเดียวกับจุดบกพร่องอื่น ๆ จุดบกพร่องนี้ก็ต้องมีการโต้ตอบกับผู้ใช้ในระดับหนึ่งเช่นกัน ในสถานการณ์การโจมตีทางอีเมลเพื่อใช้ประโยชน์จากจุดบกพร่อง ผู้โจมตีจะต้องส่งไฟล์ที่สร้างขึ้นมาเป็นพิเศษให้กับผู้ใช้เป้าหมายและให้ผู้ใช้เปิดไฟล์นั้น ในการโจมตีทางเว็บ ผู้โจมตีจะต้องโฮสต์เว็บไซต์ที่เป็นอันตราย – หรือใช้เว็บไซต์ที่ถูกบุกรุก – เพื่อโฮสต์ไฟล์ที่สร้างขึ้นมาเป็นพิเศษ จากนั้นจึงโน้มน้าวให้เหยื่อเปิดเว็บไซต์ดังกล่าว Microsoft กล่าว

RCEs ใน Windows Routing, Remote Access Service

นักวิจัยด้านความปลอดภัยชี้ไปที่ช่องโหว่ RCE สามรายการใน Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366และ CVE-2023-35367) ให้ความสำคัญกับความสนใจเป็นอันดับแรก Microsoft ได้ประเมินช่องโหว่ทั้งสามว่าวิกฤต และทั้งสามรายการมีคะแนน CVSS เท่ากับ 9.8 บริการนี้ไม่สามารถใช้งานได้ตามค่าเริ่มต้นบน Windows Server และโดยพื้นฐานแล้วจะทำให้คอมพิวเตอร์ที่ใช้ระบบปฏิบัติการทำงานเป็นเราเตอร์ เซิร์ฟเวอร์ VPN และเซิร์ฟเวอร์แบบเรียกผ่านสายโทรศัพท์ Bowyer ของ Automox กล่าว “ผู้โจมตีที่ประสบความสำเร็จสามารถแก้ไขการกำหนดค่าเครือข่าย ขโมยข้อมูล ย้ายไปยังระบบอื่นที่สำคัญ/สำคัญกว่า หรือสร้างบัญชีเพิ่มเติมสำหรับการเข้าถึงอุปกรณ์อย่างต่อเนื่อง"

ข้อบกพร่องของเซิร์ฟเวอร์ SharePoint

การอัปเดตเดือนกรกฎาคมครั้งมหึมาของ Microsoft มีการแก้ไขช่องโหว่ RCE สี่รายการในเซิร์ฟเวอร์ SharePoint ซึ่งกลายเป็นเป้าหมายของผู้โจมตีที่ได้รับความนิยมเมื่อเร็วๆ นี้ Microsoft ให้คะแนนข้อบกพร่องสองรายการว่า "สำคัญ" (CVE-2023-33134 และ CVE-2023-33159) และอีกสองคนเป็น "วิกฤต" (CVE-2023-33157 และ CVE-2023-33160). Yoav Iellin นักวิจัยอาวุโสของ Silverfort กล่าวว่า “ทั้งหมดนี้ต้องการให้ผู้โจมตีได้รับการรับรองความถูกต้อง หรือผู้ใช้ต้องดำเนินการซึ่งโชคดีที่ช่วยลดความเสี่ยงของการละเมิดได้” “ถึงกระนั้น เนื่องจาก SharePoint อาจมีข้อมูลที่ละเอียดอ่อนและมักถูกเปิดเผยจากภายนอกองค์กร ผู้ที่ใช้เวอร์ชันภายในองค์กรหรือไฮบริดควรอัปเดต”

องค์กรที่ต้องปฏิบัติตามกฎระเบียบเช่น FEDRAMP, PCI, HIPAA, SOC2 และกฎระเบียบที่คล้ายกันควรให้ความสนใจ CVE-2023-35332: Dor Dali หัวหน้าฝ่ายวิจัยของ Cyolo กล่าวว่าข้อบกพร่องของ Windows Remote Desktop Protocol Security Feature Bypass ช่องโหว่ดังกล่าวเกี่ยวข้องกับการใช้โปรโตคอลที่ล้าสมัยและเลิกใช้แล้ว รวมถึง Datagram Transport Layer Security (DTLS) เวอร์ชัน 1.0 ซึ่งนำเสนอความเสี่ยงด้านความปลอดภัยและการปฏิบัติตามข้อกำหนดที่สำคัญสำหรับองค์กรต่างๆ เขากล่าว ในสถานการณ์ที่องค์กรไม่สามารถอัปเดตได้ทันที ควรปิดใช้งานการสนับสนุน UDP ในเกตเวย์ RDP เขากล่าว

นอกจากนี้ Microsoft เผยแพร่คำแนะนำ ในการสืบสวนรายงานล่าสุดเกี่ยวกับผู้คุกคามที่ใช้ไดรเวอร์ที่ได้รับการรับรองภายใต้ Microsoft's Windows Hardware Developer Program (MWHDP) ในกิจกรรมหลังการใช้ประโยชน์

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/application-security/microsoft-discloses–zero-days-in-voluminous-july-security-update