Корпорація Майкрософт розкриває 5 нульових днів у об’ємному липневому оновленні безпеки

Корпорація Майкрософт розкриває 5 нульових днів у об’ємному липневому оновленні безпеки

Мітка часу: 11 липня 2023 р., 6:16
Корпорація Майкрософт розкриває 5 нульових днів у об’ємному липневому оновленні безпеки PlatoBlockchain Data Intelligence. Вертикальний пошук. Ai.

Microsoft Липневе оновлення безпеки містить виправлення колосальних 130 унікальних вразливостей, п’ять із яких зловмисники вже активно використовують у дикій природі.

Компанія оцінила дев'ять дефектів як критичні, а 121 з них - як помірні або важливі. Уразливості впливають на широкий спектр продуктів Microsoft, включаючи Windows, Office, .Net, Azure Active Directory, драйвери принтера, сервер DMS і віддалений робочий стіл. Оновлення містило звичайне поєднання недоліків віддаленого виконання коду (RCE), проблем з обходом безпеки та підвищенням привілеїв, помилок розкриття інформації та вразливості відмови в обслуговуванні.

«Цей обсяг виправлень є найвищим, який ми бачили за останні кілька років, хоча це"Незвичайним є те, що Microsoft надсилає велику кількість виправлень прямо перед конференцією Black Hat USA», — сказав у своєму блозі Дастін Чайлдс, дослідник безпеки Zero Day Initiative (ZDI) Trend Micro.

З точки зору пріоритетності виправлень, п’ять нульових днів, які Microsoft оприлюднила цього тижня, заслуговують на негайну увагу, на думку дослідників безпеки.

Найсерйознішим з них є CVE-2023-36884, помилка віддаленого виконання коду (RCE) в Office і Windows HTML, для якої Microsoft не має виправлення в оновленні цього місяця. Компанія визначила групу загроз, яку вона відстежує, Storm-0978, як таку, яка використовує недолік у фішинговій кампанії, націленій на урядові та оборонні організації в Північній Америці та Європі.

Кампанія полягає в тому, що загрозливий актор поширює бекдор під назвою RomCom через документи Windows із темами, пов’язаними зі Світовим Конґресом Українців. «Шторм-0978"цілеспрямовані операції вплинули на урядові та військові організації насамперед в Україні, а також на організації в Європі та Північній Америці, потенційно залучені до українських справ», Про це повідомляє Microsoft у блозі повідомлення, яке супроводжувало липневе оновлення безпеки. «Виявлені атаки програм-вимагачів вплинули, зокрема, на телекомунікаційну та фінансову галузі».

Дастін Чайлдс, інший дослідник із ZDI, попередив організації, що потрібно розглядати CVE-2023-36884 як «критичну» проблему безпеки, хоча сама Microsoft оцінила її як відносно менш серйозну, «важливу» помилку. «Microsoft зробила дивний крок, випустивши цей CVE без патч. що"все ще попереду», — написав Чайлдс у своєму блозі. «Зрозуміло, там"це набагато більше, ніж кажуть».

Дві з п’яти вразливостей, які активно використовуються, є недоліками обходу безпеки. Один впливає на Microsoft Outlook (CVE-2023-35311), а інший включає Windows SmartScreen (CVE-2023-32049). Обидві вразливості вимагають взаємодії користувача, тобто зловмисник зможе використати їх, лише переконавши користувача натиснути на шкідливу URL-адресу. За допомогою CVE-2023-32049 зловмисник зможе обійти підказку «Відкрити файл – попередження безпеки», а CVE-2023-35311 дає зловмисникам можливість приховати свою атаку за допомогою підказки «Повідомлення про безпеку Microsoft Outlook».

«Важливо зауважити, що [CVE-2023-35311] дозволяє обходити функції безпеки Microsoft Outlook і не дозволяє віддалене виконання коду чи підвищення привілеїв», — сказав Майк Уолтерс, віце-президент із дослідження вразливостей і загроз Action1. «Тому зловмисники, ймовірно, поєднають його з іншими експлойтами для комплексної атаки. Уразливість впливає на всі версії Microsoft Outlook, починаючи з 2013 року», — зазначив він в електронному листі Dark Reading.

Кев Брін, директор із дослідження кіберзагроз у Immersive Labs, оцінив інший обхід безпеки нульового дня - CVE-2023-32049 — як ще одна помилка, яку зловмисники, швидше за все, використовуватимуть як частину ширшого ланцюжка атак.

Два інші нульові дні в останньому наборі виправлень Microsoft дозволяють підвищити привілеї. Дослідники з Google Threat Analysis Group виявили один із них. Недолік, відстежений як CVE-2023-36874, це проблема підвищення привілеїв у службі звітування про помилки Windows (WER), яка дає зловмисникам можливість отримати права адміністратора на вразливих системах. Зловмиснику знадобиться локальний доступ до ураженої системи, щоб використати недолік, який вони можуть отримати за допомогою інших експлойтів або неправильного використання облікових даних.

«Служба WER — це функція в операційних системах Microsoft Windows, яка автоматично збирає та надсилає звіти про помилки в Microsoft, коли певне програмне забезпечення виходить з ладу або виявляє інші типи помилок», — сказав Том Бойєр, дослідник безпеки в Automox. «Ця вразливість нульового дня активно використовується, тому, якщо ваша організація використовує WER, ми рекомендуємо виправити її протягом 24 годин», — сказав він.

Інша помилка підвищення привілеїв у липневому оновленні системи безпеки, яку зловмисники вже активно використовують, це CVE-2023-32046 у платформі Microsoft Windows MSHTM, також відомої як «Тризуб» механізм візуалізації браузера. Як і багато інших помилок, ця також вимагає певного рівня взаємодії з користувачем. У сценарії атаки електронною поштою, щоб використати помилку, зловмиснику потрібно буде надіслати цільовому користувачеві спеціально створений файл і змусити користувача відкрити його. Під час веб-атаки зловмиснику потрібно буде розмістити шкідливий веб-сайт — або використати скомпрометований — для розміщення спеціально створеного файлу, а потім переконати жертву відкрити його, заявили в Microsoft.

RCE у Windows Routing, служба віддаленого доступу

Дослідники безпеки вказали на три вразливості RCE у службі маршрутизації та віддаленого доступу Windows (RRAS) (CVE-2023-35365, CVE-2023-35366 та CVE-2023-35367) заслуговує першочергової уваги, як і всі інші. Microsoft оцінила всі три вразливості як критичні, і всі три мають оцінку CVSS 9.8. Послуга недоступна за замовчуванням на Windows Server і в основному дозволяє комп’ютерам під керуванням ОС функціонувати як маршрутизатори, сервери VPN і сервери віддаленого доступу, сказав Боуєр з Automox. «Успішний зловмисник може змінити конфігурацію мережі, викрасти дані, перейти до інших більш критичних/важливих систем або створити додаткові облікові записи для постійного доступу до пристрою."

Недоліки сервера SharePoint

Величезне липневе оновлення Microsoft містило виправлення чотирьох уразливостей RCE на сервері SharePoint, який нещодавно став популярною мішенню зловмисників. Microsoft оцінила дві помилки як «важливі» (CVE-2023-33134 та CVE-2023-33159) а два інших як «критичні» (CVE-2023-33157 та CVE-2023-33160). «Усі вони вимагають, щоб зловмисник пройшов автентифікацію або користувач виконав дію, яка, на щастя, зменшує ризик злому», — сказав Йоав Іеллін, старший науковий співробітник Silverfort. «Незважаючи на це, оскільки SharePoint може містити конфіденційні дані та зазвичай доступні з-за меж організації, тим, хто використовує локальні або гібридні версії, слід оновити».

Організаціям, які повинні дотримуватися таких нормативних актів, як FEDRAMP, PCI, HIPAA, SOC2 тощо, слід звернути увагу на CVE-2023-35332: недолік функції обходу протоколу безпеки віддаленого робочого столу Windows, сказав Дор Далі, керівник дослідження в Cyolo. За його словами, вразливість пов’язана з використанням застарілих і непідтримуваних протоколів, включаючи Datagram Transport Layer Security (DTLS) версії 1.0, що створює значний ризик для безпеки та відповідності організаціям. У ситуаціях, коли організація не може негайно оновити, вона повинна вимкнути підтримку UDP у шлюзі RDP, сказав він.

Крім того, Microsoft опублікував дорадчу про розслідування останніх повідомлень про те, що зловмисники використовують драйвери, сертифіковані Microsoft"s Програма розробника апаратного забезпечення Windows (MWHDP) у діяльності після експлойту.

Часова мітка:

Більше від Темне читання