Заплановане оновлення системи безпеки Microsoft Patch Tuesday на лютий містить виправлення для двох уразливостей системи безпеки нульового дня, що перебувають під активними атаками, а також 71 недолік у широкому діапазоні її продуктів.
Загалом п’ять уразливостей, для яких Microsoft випустила лютневий патч, були оцінені як критичні, 66 – як важливі, а дві – як помірні.
Команда оновлення містить виправлення для Microsoft Office, Windows, Microsoft Exchange Server, веб-переглядач Edge компанії на основі Chromium, Azure Active Directory, Microsoft Defender для кінцевої точки та Skype для бізнесу. Tenable ідентифікував 30 із 73 CVE як уразливості віддаленого виконання коду (RCE); 16 як можливість підвищення привілеїв; 10 пов’язано з помилками спуфінгу; дев'ять як можливість розподілених атак на відмову в обслуговуванні; п'ять як недоліки в розкритті інформації; і три як проблеми з обходом безпеки.
вода Hydra використовує Zero-Days, орієнтуючись на фінансових трейдерів
Загрозливий актор, який отримав назву Water Hydra (він же Dark Casino), наразі використовує одну з уразливостей нульового дня — Функція безпеки файлів ярликів Інтернету обходить вразливість відстежується як CVE-2024-21412 (CVSS 8.1) — у зловмисній кампанії, націленій на організації у фінансовому секторі.
Дослідники з Trend Micro — серед тих, хто виявив недолік і повідомив про нього Microsoft — описали його як пов’язаний з обходом раніше виправленої вразливості SmartScreen (CVE-2023-36025, CVSS 8.8) і впливає на всі підтримувані версії Windows. Учасники Water Hydra використовують CVE-2024-21412, щоб отримати початковий доступ до систем, що належать фінансовим трейдерам, і встановити на них троян віддаленого доступу DarkMe.
Щоб використати вразливість, зловмиснику спочатку потрібно буде доставити шкідливий файл цільовому користувачеві та змусити його відкрити його, сказав Саїд Аббасі, менеджер із дослідження вразливостей Qualys, у коментарі електронною поштою. «Вплив цієї вразливості глибокий, ставить під загрозу безпеку та підриває довіру до захисних механізмів, таких як SmartScreen», — сказав Аббасі.
SmartScreen Bypass Zero-Day
Інший нульовий день, який Microsoft розкрила в оновленні безпеки цього місяця, впливає на Defender SmartScreen. За даними Microsoft, CVE-2024-21351 це помилка середнього ступеня тяжкості, яка дозволяє зловмиснику обійти захист SmartScreen і вставити в нього код, щоб потенційно отримати можливості віддаленого виконання коду. Успішний експлойт може призвести до обмеженого доступу до даних, проблем з доступністю системи або до того й іншого, заявили в Microsoft. Немає подробиць про те, хто саме може використовувати помилку та з якою метою.
У підготовлених коментарях для Dark Reading Майк Уолтерс, президент і співзасновник Action1, сказав, що вразливість пов’язана зі способом взаємодії Microsoft Mark of the Web (функція для визначення ненадійного вмісту в Інтернеті) з функцією SmartScreen. «Для цієї вразливості зловмисник повинен поширити шкідливий файл серед користувачів і переконати їх відкрити його, дозволяючи їм обійти перевірки SmartScreen і потенційно поставити під загрозу безпеку системи», — сказав Волтерс.
Помилки високого пріоритету
Серед п’яти критичних уразливостей у лютневому оновленні одна, яка потребує першочергової уваги CVE-2024-21410, вразливість підвищення привілеїв на сервері Exchange Server, улюблена мішень для зловмисників. Зловмисник може використати цю помилку, щоб розкрити хеш версії 2 Net-New Technology LAN Manager (NTLM) цільового користувача, а потім передати ці облікові дані на заражений сервер Exchange і пройти автентифікацію на ньому як користувач.
Подібні недоліки, які розкривають конфіденційну інформацію, як-от хеші NTLM, можуть бути дуже цінними для зловмисників, сказав у заяві Сатнам Наранг, старший інженер-дослідник Tenable. «Російський загрозливий суб’єкт використовував подібну вразливість для здійснення атак — CVE-2023-23397 — це вразливість щодо підвищення привілеїв у Microsoft Outlook, виправлена в березні 2023 року», — сказав він.
Щоб виправити недолік, адміністраторам Exchange потрібно буде переконатися, що вони встановили оновлення Exchange Server 2019 Cumulative Update 14 (CU14) і переконатися, що функцію розширеного захисту для автентифікації (EPA) увімкнено, повідомляє Trend Micro. Постачальник безпеки вказав на статтю, опубліковану Microsoft який надає додаткову інформацію про те, як виправити вразливість.
Корпорація Майкрософт призначила CVE-2024-21410 максимальний рейтинг серйозності 9.1 з 10, що робить його критичною вразливістю. Але зазвичай уразливості підвищення привілеїв мають відносно низькі оцінки за рейтинговою шкалою вразливостей CVSS, що суперечить справжньому характеру загрози, яку вони представляють, сказав Кев Брін, старший директор із дослідження загроз у Immersive Labs. «Незважаючи на низький бал, уразливості [підвищення привілеїв] дуже затребувані суб’єктами загроз і використовуються майже в кожному кіберінциденті», — сказав Брін у заяві. «Якщо зловмисник отримає доступ до облікового запису користувача за допомогою соціальної інженерії або іншої атаки, він спробує підвищити свої дозволи до локального адміністратора або адміністратора домену».
Волтерс із Action1 виділено CVE-2024-21413, помилка RCE у Microsoft Outlook як уразливість, якій адміністратори, можливо, захочуть визначити пріоритет із лютневої серії. Вада критичного рівня серйозності з майже максимальним показником серйозності 9.8 передбачає низьку складність атаки, відсутність взаємодії з користувачем і відсутність спеціальних привілеїв, необхідних для використання зловмисником. «Зловмисник може використати цю вразливість через панель попереднього перегляду в Outlook, дозволяючи йому обійти Office Protected View і примусово відкривати файли в режимі редагування, а не в більш безпечному захищеному режимі», — сказав Волтерс.
Сама Microsoft визначила вразливість як те, на що зловмисники менш схильні атакувати. Тим не менш, Волтерс сказав, що вразливість становить суттєву загрозу для організацій і вимагає негайної уваги.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/vulnerabilities-threats/attackers-exploit-microsoft-security-bypass-zero-day-bugs
- : має
- :є
- 1
- 10
- 14
- 16
- 2019
- 2023
- 30
- 66
- 7
- 8
- 9
- a
- доступ
- За
- рахунки
- через
- активний
- актори
- Додатковий
- Додаткова інформація
- адмін
- Адміністратори
- постраждалих
- зачіпає
- після
- проти
- ака
- ВСІ
- Дозволити
- дозволяє
- майже
- серед
- an
- та
- ЕСТЬ
- AS
- призначений
- At
- атака
- нападаючий
- нападки
- увагу
- перевіряти справжність
- Authentication
- наявність
- доступний
- Лазурний
- BE
- належність
- обидва
- браузер
- Помилка
- помилки
- бізнес
- але
- by
- обходити
- Кампанія
- CAN
- можливості
- нести
- казино
- Перевірки
- обійти
- Співзасновник
- код
- коментар
- коментарі
- компанія
- складність
- компроміс
- компрометуючі
- зміст
- може
- ІНТЕРЕНЦІЙНИЙ
- критичний
- В даний час
- кібер-
- темно
- Темне читання
- дані
- доставляти
- описаний
- Незважаючи на
- деталі
- Директор
- каталог
- Розкрити
- розкриття
- відкритий
- поширювати
- розподілений
- домен
- Падіння
- охрестили
- край
- або
- включений
- дозволяє
- Кінцева точка
- інженер
- Машинобудування
- забезпечувати
- EPA
- помилки
- ескалація
- ескалація
- Кожен
- точно
- обмін
- виконання
- Експлуатувати
- експлуатація
- подвигів
- експонування
- розширений
- Улюблений
- особливість
- лютого
- філе
- Файли
- фінансовий
- Фінансовий сектор
- Перший
- п'ять
- фіксований
- недолік
- недоліки
- для
- Примусово
- від
- Отримувати
- отримати
- мішанина
- Мати
- he
- Виділено
- дуже
- Як
- How To
- HTTPS
- ідентифікований
- ідентифікує
- занурення
- Impact
- важливо
- in
- інцидент
- includes
- інформація
- початковий
- вводити
- встановлений
- взаємодія
- взаємодіє
- інтернет
- в
- включає в себе
- Випущений
- питання
- IT
- ЙОГО
- сам
- JPG
- Labs
- вести
- менше
- левередж
- використання
- як
- Ймовірно
- обмеженою
- місцевий
- низький
- РОБОТИ
- malicious
- менеджер
- манера
- березня
- позначити
- максимальний
- механізми
- мікро-
- Microsoft
- може бути
- мікрофон
- режим
- поміркованому
- місяць
- повинен
- природа
- Близько
- Необхідність
- проте
- наступний
- дев'ять
- немає
- of
- Office
- on
- один раз
- ONE
- відкрити
- or
- організації
- Інше
- з
- прогноз
- pane
- пластир
- патч вівторок
- Дозволи
- plato
- Інформація про дані Платона
- PlatoData
- плюс
- позах
- потенційно
- підготовлений
- представити
- президент
- попередній перегляд
- раніше
- Пріоритетність
- пріоритет
- привілей
- привілеї
- Продукти
- глибокий
- захищений
- захист
- Захисні
- забезпечує
- мета
- діапазон
- номінальний
- швидше
- рейтинг
- читання
- щодо
- віддалений
- Віддалений доступ
- Повідомляється
- вимагається
- Вимагається
- дослідження
- дослідник
- s
- безпечніше
- Зазначений
- шкала
- плановий
- рахунок
- сектор
- безпеку
- Шукати
- старший
- чутливий
- сервер
- кілька
- аналогічний
- Skype
- соціальна
- Соціальна інженерія
- деякі
- що в сім'ї щось
- шукати
- спеціальний
- Рекламні
- Персонал
- Заява
- істотний
- успішний
- Підтриманий
- система
- Systems
- Мета
- цільове
- націлювання
- Технологія
- як правило,
- ніж
- Що
- Команда
- їх
- Їх
- потім
- вони
- це
- загроза
- актори загроз
- три
- через
- Зв'язаний
- до
- Traders
- Trend
- троянець
- правда
- Довіряйте
- Вівторок
- два
- типово
- при
- Оновити
- використання
- використовуваний
- користувач
- використання
- Цінний
- продавець
- версія
- версії
- дуже
- через
- вид
- Уразливості
- вразливість
- хотіти
- вода
- Web
- були
- Що
- який
- ВООЗ
- широкий
- Широкий діапазон
- волі
- windows
- з
- б
- зефірнет
- уразливості нульового дня