Microsoft Липневе оновлення безпеки містить виправлення колосальних 130 унікальних вразливостей, п’ять із яких зловмисники вже активно використовують у дикій природі.
Компанія оцінила дев'ять дефектів як критичні, а 121 з них - як помірні або важливі. Уразливості впливають на широкий спектр продуктів Microsoft, включаючи Windows, Office, .Net, Azure Active Directory, драйвери принтера, сервер DMS і віддалений робочий стіл. Оновлення містило звичайне поєднання недоліків віддаленого виконання коду (RCE), проблем з обходом безпеки та підвищенням привілеїв, помилок розкриття інформації та вразливості відмови в обслуговуванні.
«Цей обсяг виправлень є найвищим, який ми бачили за останні кілька років, хоча це"Незвичайним є те, що Microsoft надсилає велику кількість виправлень прямо перед конференцією Black Hat USA», — сказав у своєму блозі Дастін Чайлдс, дослідник безпеки Zero Day Initiative (ZDI) Trend Micro.
З точки зору пріоритетності виправлень, п’ять нульових днів, які Microsoft оприлюднила цього тижня, заслуговують на негайну увагу, на думку дослідників безпеки.
Найсерйознішим з них є CVE-2023-36884, помилка віддаленого виконання коду (RCE) в Office і Windows HTML, для якої Microsoft не має виправлення в оновленні цього місяця. Компанія визначила групу загроз, яку вона відстежує, Storm-0978, як таку, яка використовує недолік у фішинговій кампанії, націленій на урядові та оборонні організації в Північній Америці та Європі.
Кампанія полягає в тому, що загрозливий актор поширює бекдор під назвою RomCom через документи Windows із темами, пов’язаними зі Світовим Конґресом Українців. «Шторм-0978"цілеспрямовані операції вплинули на урядові та військові організації насамперед в Україні, а також на організації в Європі та Північній Америці, потенційно залучені до українських справ», Про це повідомляє Microsoft у блозі повідомлення, яке супроводжувало липневе оновлення безпеки. «Виявлені атаки програм-вимагачів вплинули, зокрема, на телекомунікаційну та фінансову галузі».
Дастін Чайлдс, інший дослідник із ZDI, попередив організації, що потрібно розглядати CVE-2023-36884 як «критичну» проблему безпеки, хоча сама Microsoft оцінила її як відносно менш серйозну, «важливу» помилку. «Microsoft зробила дивний крок, випустивши цей CVE без патч. що"все ще попереду», — написав Чайлдс у своєму блозі. «Зрозуміло, там"це набагато більше, ніж кажуть».
Дві з п’яти вразливостей, які активно використовуються, є недоліками обходу безпеки. Один впливає на Microsoft Outlook (CVE-2023-35311), а інший включає Windows SmartScreen (CVE-2023-32049). Обидві вразливості вимагають взаємодії користувача, тобто зловмисник зможе використати їх, лише переконавши користувача натиснути на шкідливу URL-адресу. За допомогою CVE-2023-32049 зловмисник зможе обійти підказку «Відкрити файл – попередження безпеки», а CVE-2023-35311 дає зловмисникам можливість приховати свою атаку за допомогою підказки «Повідомлення про безпеку Microsoft Outlook».
«Важливо зауважити, що [CVE-2023-35311] дозволяє обходити функції безпеки Microsoft Outlook і не дозволяє віддалене виконання коду чи підвищення привілеїв», — сказав Майк Уолтерс, віце-президент із дослідження вразливостей і загроз Action1. «Тому зловмисники, ймовірно, поєднають його з іншими експлойтами для комплексної атаки. Уразливість впливає на всі версії Microsoft Outlook, починаючи з 2013 року», — зазначив він в електронному листі Dark Reading.
Кев Брін, директор із дослідження кіберзагроз у Immersive Labs, оцінив інший обхід безпеки нульового дня - CVE-2023-32049 — як ще одна помилка, яку зловмисники, швидше за все, використовуватимуть як частину ширшого ланцюжка атак.
Два інші нульові дні в останньому наборі виправлень Microsoft дозволяють підвищити привілеї. Дослідники з Google Threat Analysis Group виявили один із них. Недолік, відстежений як CVE-2023-36874, це проблема підвищення привілеїв у службі звітування про помилки Windows (WER), яка дає зловмисникам можливість отримати права адміністратора на вразливих системах. Зловмиснику знадобиться локальний доступ до ураженої системи, щоб використати недолік, який вони можуть отримати за допомогою інших експлойтів або неправильного використання облікових даних.
«Служба WER — це функція в операційних системах Microsoft Windows, яка автоматично збирає та надсилає звіти про помилки в Microsoft, коли певне програмне забезпечення виходить з ладу або виявляє інші типи помилок», — сказав Том Бойєр, дослідник безпеки в Automox. «Ця вразливість нульового дня активно використовується, тому, якщо ваша організація використовує WER, ми рекомендуємо виправити її протягом 24 годин», — сказав він.
Інша помилка підвищення привілеїв у липневому оновленні системи безпеки, яку зловмисники вже активно використовують, це CVE-2023-32046 у платформі Microsoft Windows MSHTM, також відомої як «Тризуб» механізм візуалізації браузера. Як і багато інших помилок, ця також вимагає певного рівня взаємодії з користувачем. У сценарії атаки електронною поштою, щоб використати помилку, зловмиснику потрібно буде надіслати цільовому користувачеві спеціально створений файл і змусити користувача відкрити його. Під час веб-атаки зловмиснику потрібно буде розмістити шкідливий веб-сайт — або використати скомпрометований — для розміщення спеціально створеного файлу, а потім переконати жертву відкрити його, заявили в Microsoft.
RCE у Windows Routing, служба віддаленого доступу
Дослідники безпеки вказали на три вразливості RCE у службі маршрутизації та віддаленого доступу Windows (RRAS) (CVE-2023-35365, CVE-2023-35366 та CVE-2023-35367) заслуговує першочергової уваги, як і всі інші. Microsoft оцінила всі три вразливості як критичні, і всі три мають оцінку CVSS 9.8. Послуга недоступна за замовчуванням на Windows Server і в основному дозволяє комп’ютерам під керуванням ОС функціонувати як маршрутизатори, сервери VPN і сервери віддаленого доступу, сказав Боуєр з Automox. «Успішний зловмисник може змінити конфігурацію мережі, викрасти дані, перейти до інших більш критичних/важливих систем або створити додаткові облікові записи для постійного доступу до пристрою."
Недоліки сервера SharePoint
Величезне липневе оновлення Microsoft містило виправлення чотирьох уразливостей RCE на сервері SharePoint, який нещодавно став популярною мішенню зловмисників. Microsoft оцінила дві помилки як «важливі» (CVE-2023-33134 та CVE-2023-33159) а два інших як «критичні» (CVE-2023-33157 та CVE-2023-33160). «Усі вони вимагають, щоб зловмисник пройшов автентифікацію або користувач виконав дію, яка, на щастя, зменшує ризик злому», — сказав Йоав Іеллін, старший науковий співробітник Silverfort. «Незважаючи на це, оскільки SharePoint може містити конфіденційні дані та зазвичай доступні з-за меж організації, тим, хто використовує локальні або гібридні версії, слід оновити».
Організаціям, які повинні дотримуватися таких нормативних актів, як FEDRAMP, PCI, HIPAA, SOC2 тощо, слід звернути увагу на CVE-2023-35332: недолік функції обходу протоколу безпеки віддаленого робочого столу Windows, сказав Дор Далі, керівник дослідження в Cyolo. За його словами, вразливість пов’язана з використанням застарілих і непідтримуваних протоколів, включаючи Datagram Transport Layer Security (DTLS) версії 1.0, що створює значний ризик для безпеки та відповідності організаціям. У ситуаціях, коли організація не може негайно оновити, вона повинна вимкнути підтримку UDP у шлюзі RDP, сказав він.
Крім того, Microsoft опублікував дорадчу про розслідування останніх повідомлень про те, що зловмисники використовують драйвери, сертифіковані Microsoft"s Програма розробника апаратного забезпечення Windows (MWHDP) у діяльності після експлойту.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
- джерело: https://www.darkreading.com/application-security/microsoft-discloses–zero-days-in-voluminous-july-security-update
- : має
- :є
- : ні
- :де
- 1
- 2013
- 24
- 7
- 8
- 9
- a
- Здатний
- МЕНЮ
- доступ
- супроводжується
- За
- Рахунки
- дію
- активний
- активно
- діяльність
- актори
- доповнення
- Додатковий
- адміністративний
- Справи
- впливати
- ака
- ВСІ
- дозволяє
- вже
- хоча
- Америка
- серед
- an
- аналіз
- та
- Інший
- ЕСТЬ
- AS
- оцінюється
- At
- атака
- нападки
- увагу
- автентифіковано
- автоматично
- доступний
- Лазурний
- закулісний
- В основному
- BE
- ставати
- перед тим
- буття
- Black
- Black Hat
- Блог
- обидва
- порушення
- ширше
- браузер
- Помилка
- помилки
- by
- Кампанія
- CAN
- не може
- певний
- Сертифікований
- ланцюг
- очевидно
- клацання
- код
- об'єднувати
- Приходити
- компанія
- дотримання
- дотримуватися
- всеосяжний
- Компрометація
- комп'ютери
- конференція
- Конгрес
- містити
- містяться
- містить
- переконати
- може
- створювати
- ІНТЕРЕНЦІЙНИЙ
- критичний
- cve
- кібер-
- темно
- Темне читання
- дані
- день
- дефолт
- оборони
- Відмова в обслуговуванні
- не підтримується
- робочий стіл
- Розробник
- пристрій
- DID
- Директор
- Розкриває
- розкриття
- відкритий
- розповсюдження
- do
- документація
- робить
- драйвери
- охрестили
- включіть
- дозволяє
- двигун
- помилка
- помилки
- ескалація
- Європа
- Навіть
- виконання
- Експлуатувати
- експлуатований
- експлуатація
- подвигів
- піддаватися
- особливість
- риси
- кілька
- філе
- фінансування
- недолік
- недоліки
- для
- чотири
- від
- функція
- Отримувати
- шлюз
- отримати
- дає
- Уряд
- Group
- апаратні засоби
- hat
- Мати
- he
- голова
- найвищий
- господар
- ГОДИННИК
- HTML
- HTTPS
- гібрид
- ідентифікований
- if
- Негайний
- негайно
- занурення
- вплив
- важливо
- in
- У тому числі
- промисловості
- інформація
- Ініціатива
- взаємодія
- в
- дослідження
- залучений
- питання
- питання
- IT
- ЙОГО
- сам
- JPG
- липень
- Labs
- великий
- останній
- останній
- шар
- менше
- рівень
- Ймовірно
- місцевий
- серія
- багато
- сенс
- Заслуга
- Microsoft
- Microsoft Windows,
- мікрофон
- військовий
- змішувати
- змінювати
- місяць
- більше
- найбільш
- рухатися
- Необхідність
- мережу
- мережу
- На північ
- Північна Америка
- зазначив,
- Зверніть увагу..
- номер
- of
- Office
- on
- ONE
- тільки
- відкрити
- операційний
- операційні системи
- операції
- or
- організація
- організації
- OS
- Інше
- інші
- прогноз
- поза
- частина
- пластир
- Патчі
- Виправлення
- Платити
- Виконувати
- phishing
- фішинг-кампанія
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- популярний
- пошта
- потенційно
- подарунки
- президент
- в першу чергу
- пріоритетів
- пріоритет
- привілей
- Продукти
- програма
- протокол
- безпека протоколу
- протоколи
- діапазон
- вимагачів
- Вимагальні програми
- номінальний
- читання
- останній
- нещодавно
- рекомендувати
- знижує
- правила
- пов'язаний
- щодо
- випуску
- віддалений
- Віддалений доступ
- надання
- Звітність
- Звіти
- вимагати
- Вимагається
- дослідження
- дослідник
- Дослідники
- право
- праві
- Risk
- Маршрутизація
- біг
- s
- Зазначений
- сценарій
- рахунок
- безпеку
- побачити
- бачив
- послати
- посилає
- старший
- чутливий
- серйозний
- Сервери
- обслуговування
- комплект
- важкий
- КОРАБЕЛЬ
- Повинен
- аналогічний
- ситуацій
- стягнути
- So
- Софтвер
- деякі
- спеціально
- конкретно
- точки зору
- Як і раніше
- істотний
- успішний
- такі
- підтримка
- система
- Systems
- прийняті
- Мета
- цільове
- націлювання
- зв'язок
- ніж
- Що
- Команда
- їх
- Їх
- потім
- отже
- вони
- це
- На цьому тижні
- ті
- хоча?
- загроза
- актори загроз
- три
- до
- Том
- занадто
- Відстеження
- перевезення
- лікувати
- Trend
- два
- Типи
- Ukraine
- УКРАЇНСЬКА
- при
- створеного
- Оновити
- URL
- USA
- Використання
- використання
- використовуваний
- користувач
- використання
- зазвичай
- Ve
- версія
- версії
- через
- віце
- Віцепрезидент
- Жертва
- обсяг
- VPN
- Уразливості
- вразливість
- Вразливий
- попередження
- шлях..
- we
- Web-Based
- веб-сайт
- week
- ДОБРЕ
- коли
- який
- в той час як
- ВООЗ
- широкий
- Широкий діапазон
- Wild
- волі
- windows
- з
- в
- світ
- б
- пише
- років
- вашу
- зефірнет
- нуль
- Zero Day