Microsoft tiết lộ 5 Zero-Days trong bản cập nhật bảo mật tháng XNUMX khổng lồ

Microsoft tiết lộ 5 Zero-Days trong bản cập nhật bảo mật tháng XNUMX khổng lồ

Dấu thời gian: 11:2023 chiều ngày 6 tháng 16 năm XNUMX
Microsoft tiết lộ 5 Zero-Days trong bản cập nhật bảo mật số lượng lớn tháng XNUMX Thông minh dữ liệu PlatoBlockchain. Tìm kiếm dọc. Ái.

Của Microsoft Cập nhật bảo mật tháng XNUMX chứa các bản sửa lỗi cho con số khổng lồ 130 lỗ hổng duy nhất, năm trong số đó những kẻ tấn công đang tích cực khai thác ngoài tự nhiên.

Công ty đã đánh giá 121 trong số các lỗ hổng là nghiêm trọng và XNUMX trong số đó là mức độ nghiêm trọng vừa phải hoặc nghiêm trọng. Các lỗ hổng ảnh hưởng đến nhiều loại sản phẩm của Microsoft bao gồm Windows, Office, .Net, Azure Active Directory, Trình điều khiển máy in, Máy chủ DMS và Máy tính Từ xa. Bản cập nhật chứa hỗn hợp các lỗ hổng thực thi mã từ xa (RCE), bỏ qua bảo mật và các vấn đề leo thang đặc quyền, lỗi tiết lộ thông tin và lỗ hổng từ chối dịch vụ.

“Số lượng bản sửa lỗi này là cao nhất mà chúng tôi từng thấy trong vài năm qua, mặc dù nó'Dustin Childs, nhà nghiên cứu bảo mật tại Zero Day Initiative (ZDI) của Trend Micro, cho biết không có gì lạ khi thấy Microsoft gửi một số lượng lớn các bản vá ngay trước hội nghị Black Hat USA.

Theo các nhà nghiên cứu bảo mật, từ quan điểm ưu tiên vá lỗi, năm zero-day mà Microsoft tiết lộ trong tuần này đáng được chú ý ngay lập tức.

Nghiêm trọng nhất trong số đó là CVE-2023-36884, một lỗi thực thi mã từ xa (RCE) trong Office và Windows HTML mà Microsoft không có bản vá lỗi trong bản cập nhật tháng này. Công ty đã xác định một nhóm đe dọa mà họ đang theo dõi, Storm-0978, đang khai thác lỗ hổng trong một chiến dịch lừa đảo nhắm vào chính phủ và các tổ chức quốc phòng ở Bắc Mỹ và Châu Âu.

Chiến dịch liên quan đến việc kẻ đe dọa phân phối một cửa hậu, có tên là RomCom, thông qua các tài liệu Windows có chủ đề liên quan đến Đại hội Thế giới Ukraine. “Bão-0978'Các hoạt động có chủ đích của s đã ảnh hưởng đến các tổ chức chính phủ và quân sự chủ yếu ở Ukraine, cũng như các tổ chức ở Châu Âu và Bắc Mỹ có khả năng liên quan đến các vấn đề của Ukraine,” Microsoft cho biết trong một blog bài đăng kèm theo bản cập nhật bảo mật tháng XNUMX. “Các cuộc tấn công ransomware được xác định đã ảnh hưởng đến ngành viễn thông và tài chính, trong số những ngành khác.”

Dustin Childs, một nhà nghiên cứu khác tại ZDI, đã cảnh báo các tổ chức nên coi CVE-2023-36884 là một vấn đề bảo mật “nghiêm trọng” mặc dù chính Microsoft đã đánh giá đây là một lỗi tương đối ít nghiêm trọng và “quan trọng”. “Microsoft đã thực hiện một hành động kỳ lạ là phát hành CVE này không có một bản vá. Cái đó'Nó vẫn còn ở phía trước,” Childs viết trong một bài đăng trên blog. “Rõ ràng, có'khai thác này nhiều hơn những gì đang được nói.

Hai trong số năm lỗ hổng đang được tích cực khai thác là lỗ hổng bảo mật. Một ảnh hưởng đến Microsoft Outlook (CVE-2023-35311) và cái kia liên quan đến Windows SmartScreen (CVE-2023-32049). Cả hai lỗ hổng đều yêu cầu sự tương tác của người dùng, nghĩa là kẻ tấn công chỉ có thể khai thác chúng bằng cách thuyết phục người dùng nhấp vào một URL độc hại. Với CVE-2023-32049, kẻ tấn công có thể bỏ qua lời nhắc Mở tệp – Cảnh báo bảo mật, trong khi CVE-2023-35311 cung cấp cho kẻ tấn công cách đánh lén cuộc tấn công bằng lời nhắc Thông báo bảo mật của Microsoft Outlook.

“Điều quan trọng cần lưu ý là [CVE-2023-35311] đặc biệt cho phép bỏ qua các tính năng bảo mật của Microsoft Outlook và không cho phép thực thi mã từ xa hoặc leo thang đặc quyền,” Mike Walters, phó chủ tịch nghiên cứu về lỗ hổng và mối đe dọa tại Action1 cho biết. “Do đó, những kẻ tấn công có khả năng kết hợp nó với các khai thác khác để tấn công toàn diện. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản Microsoft Outlook từ 2013 trở đi,” ông lưu ý trong email gửi tới Dark Reading.

Kev Breen, giám đốc nghiên cứu mối đe dọa mạng tại Immersive Labs, đã đánh giá cách vượt qua bảo mật khác trong ngày không - CVE-2023-32049 — là một lỗi khác mà các tác nhân đe dọa rất có thể sẽ sử dụng như một phần của chuỗi tấn công rộng lớn hơn.

Hai zero-day khác trong bộ bản vá mới nhất của Microsoft đều cho phép leo thang đặc quyền. Các nhà nghiên cứu tại Nhóm phân tích mối đe dọa của Google đã phát hiện ra một trong số chúng. Lỗ hổng, được theo dõi như CVE-2023-36874, là một vấn đề nâng cao về đặc quyền trong dịch vụ Báo cáo Lỗi Windows (WER), cho phép kẻ tấn công có được quyền quản trị trên các hệ thống dễ bị tấn công. Kẻ tấn công sẽ cần quyền truy cập cục bộ vào một hệ thống bị ảnh hưởng để khai thác lỗ hổng mà chúng có thể đạt được thông qua các cách khai thác khác hoặc thông qua việc sử dụng sai thông tin xác thực.

Tom Bowyer, nhà nghiên cứu bảo mật tại Automox cho biết: “Dịch vụ WER là một tính năng trong hệ điều hành Microsoft Windows, tự động thu thập và gửi báo cáo lỗi cho Microsoft khi một số phần mềm gặp sự cố hoặc gặp phải các loại lỗi khác. Ông nói: “Lỗ hổng zero-day này đang được tích cực khai thác, vì vậy nếu tổ chức của bạn sử dụng WER, chúng tôi khuyên bạn nên vá trong vòng 24 giờ.

Lỗi nâng cao đặc quyền khác trong bản cập nhật bảo mật tháng XNUMX mà những kẻ tấn công đang tích cực khai thác là CVE-2023-32046 trong nền tảng Windows MSHTM của Microsoft, hay còn gọi là công cụ kết xuất trình duyệt “Trident”. Cũng như nhiều lỗi khác, lỗi này cũng yêu cầu một số mức độ tương tác của người dùng. Trong kịch bản tấn công email để khai thác lỗi, kẻ tấn công sẽ cần gửi cho người dùng được nhắm mục tiêu một tệp được chế tạo đặc biệt và yêu cầu người dùng mở tệp đó. Trong một cuộc tấn công dựa trên Web, kẻ tấn công sẽ cần lưu trữ một trang web độc hại — hoặc sử dụng một trang web bị xâm nhập — để lưu trữ một tệp được chế tạo đặc biệt và sau đó thuyết phục nạn nhân mở tệp đó, Microsoft cho biết.

RCE trong Định tuyến Windows, Dịch vụ truy cập từ xa

Các nhà nghiên cứu bảo mật đã chỉ ra ba lỗ hổng RCE trong Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366CVE-2023-35367) đáng được quan tâm ưu tiên như tất cả. Microsoft đã đánh giá cả ba lỗ hổng là nghiêm trọng và cả ba đều có điểm CVSS là 9.8. Dịch vụ này không có sẵn theo mặc định trên Windows Server và về cơ bản cho phép các máy tính chạy HĐH hoạt động như bộ định tuyến, máy chủ VPN và máy chủ quay số, Bowyer của Automox cho biết. “Kẻ tấn công thành công có thể sửa đổi cấu hình mạng, đánh cắp dữ liệu, chuyển sang các hệ thống quan trọng/quan trọng khác hoặc tạo tài khoản bổ sung để truy cập liên tục vào thiết bị."

Lỗi máy chủ SharePoint

Bản cập nhật khổng lồ tháng XNUMX của Microsoft chứa các bản sửa lỗi cho bốn lỗ hổng RCE trong máy chủ SharePoint, vốn đã trở thành mục tiêu tấn công phổ biến gần đây. Microsoft đánh giá hai trong số các lỗi là "quan trọng" (CVE-2023-33134CVE-2023-33159) và hai cái còn lại là “quan trọng” (CVE-2023-33157CVE-2023-33160). Yoav Iellin, nhà nghiên cứu cấp cao tại Silverfort cho biết: “Tất cả chúng đều yêu cầu kẻ tấn công phải được xác thực hoặc người dùng thực hiện một hành động may mắn thay sẽ giảm nguy cơ vi phạm”. “Mặc dù vậy, vì SharePoint có thể chứa dữ liệu nhạy cảm và thường bị lộ từ bên ngoài tổ chức, nên những người sử dụng phiên bản tại chỗ hoặc kết hợp nên cập nhật.”

Các tổ chức phải tuân thủ các quy định như FEDRAMP, PCI, HIPAA, SOC2 và các quy định tương tự cần lưu ý CVE-2023-35332: Dor Dali, người đứng đầu nghiên cứu tại Cyolo cho biết một lỗ hổng Bỏ qua tính năng bảo mật giao thức máy tính từ xa của Windows. Ông nói: “Lỗ hổng bảo mật liên quan đến việc sử dụng các giao thức lỗi thời và không dùng nữa, bao gồm Bảo mật lớp vận chuyển dữ liệu (DTLS) phiên bản 1.0, gây ra rủi ro tuân thủ và bảo mật đáng kể cho các tổ chức. Ông nói, trong các tình huống mà một tổ chức không thể cập nhật ngay lập tức, họ nên tắt hỗ trợ UDP trong cổng RDP.

Ngoài ra, Microsoft xuất bản một lời khuyên về việc điều tra các báo cáo gần đây về các tác nhân đe dọa sử dụng trình điều khiển được chứng nhận bởi Microsoft's Chương trình nhà phát triển phần cứng Windows (MWHDP) trong hoạt động hậu khai thác.

Dấu thời gian:

Thêm từ Đọc tối