Microsoft käsitles oma septembrikuise paiga teisipäeva värskenduses viit kriitilist turvaauku koos kahe "olulise" reitinguga nullpäevaga aktiivse rünnaku all looduses.
Kokku andis Microsoft välja 59 uut plaastrit, mis käsitlevad vigasid kogu tootevalikus: need mõjutavad Microsoft Windowsi, Exchange Serverit, Office'i, .NET-i ja Visual Studiot, Azure'i, Microsoft Dynamicsi ja Windows Defenderit.
Värskendus sisaldab ka käputäis kolmandate osapoolte probleeme, sealhulgas aktiivselt ära kasutatud, kriitiline Chromiumi nullpäeva viga mis mõjutab Microsoft Edge'i. Koos välisprobleemidega on CVE-de arv kokku 65.
Hoolimata paranduste laiusest märkisid teadlased, et paikade prioriseerimine on sel kuul üsna lihtne, kuna nullpäevad, kriitilised vead ja probleemid Microsoft Exchange Serveris ja TCP/IP-protokolli Windowsi juurutamises peavad liikuma esiplaanile. enamiku organisatsioonide jaoks.
Microsofti nullpäevad aktiivse ärakasutamise all
Kui kaht CVE-d on loetletud ohutegurite poolt looduses enne lappimist kasutatuna, siis ainult üks on avalikult teada. Mõlemad peaksid arusaadavatel põhjustel olema lapimise jaoks nimekirja ülaosas.
Avalik viga leiti Microsoft Wordis (CVE-2023-36761, CVSS 6.2); see on klassifitseeritud "teabe avalikustamise" probleemiks, kuid Dustin Childs, Trend Micro Zero Day Initiative'i (ZDI) teadlane, märkis, et see lükkab ümber selle raskusastme.
"Ründaja võib seda haavatavust kasutada, et võimaldada NTLM-i räsi avalikustamist, mida siis arvatavasti kasutatakse NTLM-relee stiilis rünnak,” selgitas ta teisipäeval Microsofti septembrikuu plaastri väljalaske postitamine. "Sõltumata klassifikatsioonist on eelvaatepaan ka siin vektor, mis tähendab, et kasutaja sekkumine pole vajalik. Pange see kindlasti oma testimise ja juurutamise loendi ülaossa.
Teine nullpäev eksisteerib Windowsi operatsioonisüsteemis (CVE-2023-36802, CVSS 7.8), täpsemalt Microsoft Streami voogedastusteenuse puhverserveris (varem tuntud kui Office 365 Video). Nõuande kohaselt peaks ründaja edukaks ärakasutamiseks käivitama spetsiaalselt koostatud programmi, mis võimaldaks õiguste eskaleerimist kas administraatori või süsteemiõigusteni.
"See on 2023. aastal looduses ära kasutatud nullpäevase haavatavuse kaheksas tõus," ütleb Tenable'i vanemtöötajate uurimisinsener Satnam Narang Dark Readingile. "Kuna ründajatel on a hulgaliselt viise organisatsioonide rikkumiseks, lihtsalt süsteemile juurdepääsu saamisest ei pruugi alati piisata, mistõttu privileegide suurendamine muutub palju väärtuslikumaks, eriti nullpäevadel.
September 2023 Kriitilised haavatavused
Kui rääkida kriitilistest vigadest, siis üks murettekitavamaid on CVE-2023-29332, mis leiti Microsofti teenuses Azure Kubernetes. See võib võimaldada kaug-autentimata ründajal võita Kubernetese klaster haldusõigused.
"See paistab silma, kuna selleni pääseb Internetist, see ei nõua kasutaja sekkumist ja on loetletud madala keerukusega," hoiatas Childs oma postituses. "Selle vea kaug-autentimata aspekti põhjal võib see ründajate jaoks üsna ahvatlevaks osutuda."
Kolm kriitiliselt hinnatud paikadest on RCE probleemid, mis mõjutavad Visual Studio (CVE-2023-36792, CVE-2023-36793ja CVE-2023-36796, kõik CVSS-i skooriga 7.8). Kõik need võivad kaasa tuua suvalise koodi käivitamise, kui avate kahjustatud tarkvaraversiooniga pahatahtliku paketifaili.
"Arvestades Visual Studio's arendajate seas laialt levinud, võib selliste haavatavuste mõjul olla doominoefekt, mis levitab kahju palju kaugemale algselt ohustatud süsteemist," ütles Automoxi tooteturbe juht Tom Bowyer. ütles postituses. "Halvimal juhul võib see tähendada varalise lähtekoodi vargust või rikkumist, tagauste kasutuselevõttu või pahatahtlikku rikkumist, mis võib muuta teie rakenduse teiste vastu suunatud rünnakute käivitusplatvormiks."
Viimane kriitiline küsimus on CVE-2023-38148 (CVSS 8.8, kõige karmim, mille Microsoft sel kuul parandas), mis võimaldab autentimata kaugkäivitamist Windowsi Interneti-ühenduse jagamise (ICS) funktsiooni kaudu. Selle riski vähendab asjaolu, et ründaja peab olema võrguga külgnev; Lisaks ei kasuta enamik organisatsioone enam ICS-i. Kuid need, kes seda endiselt kasutavad, peaksid kohe parandama.
"Kui ründajad seda haavatavust edukalt ära kasutavad, võib konfidentsiaalsus, terviklikkus ja kättesaadavus täielikult kaduda," ütleb Immersive Labsi küberturvalisuse insener Natalie Silva. Volitamata ründaja võib seda haavatavust ära kasutada, saates teenusele spetsiaalselt koostatud võrgupaketi. See võib viia suvalise koodi käivitamiseni, mis võib põhjustada volitamata juurdepääsu, andmetega manipuleerimise või teenuste katkemise.
Muud Microsofti paigad, mida eelistada
Septembri värskendus sisaldab ka Microsoft Exchange Serveri vigu, mida peetakse "tõenäolisemaks ärakasutamiseks".
Probleemide kolmik (CVE-2023-36744, CVE-2023-36745ja CVE-2023-36756, kõik CVSS-reitinguga 8.0) mõjutavad versioone 2016–2019 ja võimaldavad RCE-rünnakuid teenuse vastu.
"Kuigi ükski neist rünnetest ei põhjusta serveris endas RCE-d, võib see lubada kehtivate mandaatidega võrguga külgneval ründajal muuta kasutajaandmeid või esile kutsuda sihitud kasutajakonto jaoks Net-NTLMv2 räsi, mis omakorda võidakse taastamiseks murda. kasutaja parool või edastatakse võrgusiseselt, et rünnata mõnda teist teenust,” ütleb Immersive'i küberturvalisuse insener Robert Reeves.
Ta lisab: "Kui privilegeeritud kasutajatel – domeeni administraatori või sarnaste õigustega võrgus olevatel kasutajatel – on Exchange'is loodud postkast, vastupidiselt Microsofti turvanõuannetele, võib sellisel edastamisrünnakul olla märkimisväärsed tagajärjed."
Ja lõpuks märkisid Automoxi teadlased teenuse keelamise (DoS) haavatavuse Windowsi TCP/IP-s (CVE-2023-38149, CVSS 7.5), mida eelistada.
Viga mõjutab kõiki võrguga ühendatud süsteeme ja "võimaldab ründajal võrguvektori kaudu teenust häirida ilma kasutaja autentimise või suure keerukusega," ütles Automox CISO Jason Kikta. plaastri teisipäeva rike. „See haavatavus kujutab endast olulist ohtu digitaalsele maastikule. Neid nõrkusi saab ära kasutada serverite ülekoormamiseks, häirides võrkude ja teenuste normaalset toimimist ning muutes need kasutajatele kättesaamatuks.
Kõik see ei mõjuta süsteeme, mille IPv6 on keelatud.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- ChartPrime. Tõsta oma kauplemismängu ChartPrime'iga kõrgemale. Juurdepääs siia.
- BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
- Allikas: https://www.darkreading.com/application-security/microsoft-patches-pair-of-actively-exploited-zero-days
- :on
- :mitte
- : kus
- 2023
- 65
- 7
- 8
- a
- juurdepääs
- Vastavalt
- konto
- üle
- aktiivne
- aktiivselt
- osalejad
- adresseeritud
- adresseerimine
- Lisab
- admin
- haldamine
- nõuanne
- nõuandev
- mõjutada
- vastu
- Materjal: BPA ja flataatide vaba plastik
- võimaldama
- võimaldab
- mööda
- Ka
- alati
- vahel
- an
- ja
- Teine
- mistahes
- taotlus
- OLEME
- AS
- aspekt
- At
- rünnak
- Reageerib
- Autentimine
- kättesaadavus
- Taevasina
- Tagauksed
- põhineb
- BE
- sest
- muutuma
- on
- Peale
- mõlemad
- laius
- Lagunema
- Bug
- vead
- kuid
- by
- CAN
- põhjustades
- kroom
- CISO
- klassifikatsioon
- salastatud
- kood
- tuleb
- keerukus
- Kompromissitud
- kohta
- konfidentsiaalsus
- ühendus
- Tagajärjed
- vastupidi
- Korruptsioon
- võiks
- krakitud
- meisterdatud
- loodud
- volikiri
- kriitiline
- Küberturvalisus
- tume
- Tume lugemine
- andmed
- päev
- loetakse
- kindlasti
- digitaalne
- blokeeritud
- avalikustamine
- Häirima
- Katkestus
- domeen
- DOS
- dünaamika
- serv
- mõju
- Kaheksas
- kumbki
- insener
- piisavalt
- eskalatsioon
- eriti
- Eeter (ETH)
- vahetamine
- täitmine
- olemas
- selgitas
- Ekspluateeri
- kasutamine
- Exploited
- väline
- asjaolu
- õiglaselt
- fail
- lõplik
- Lõpuks
- viis
- märgistatud
- vigu
- eest
- varem
- avastatud
- Alates
- esi-
- funktsioon
- toimimine
- edasi
- kasu
- saamine
- antud
- raskus
- käputäis
- kahju
- hash
- Olema
- he
- juhataja
- siin
- Suur
- tema
- aga
- HTTPS
- ICS
- if
- kohe
- ümbritsevale
- mõju
- täitmine
- oluline
- in
- lisatud
- Kaasa arvatud
- sisaldab
- info
- esialgu
- algatus
- terviklikkuse
- suhtlemist
- sisemiselt
- Internet
- internetiühendus
- sisse
- Sissejuhatus
- probleem
- küsimustes
- IT
- ITS
- ise
- jpg
- teatud
- Kubernetes
- Labs
- maastik
- Launchpad
- viima
- Tõenäoliselt
- joon
- nimekiri
- Loetletud
- enam
- kaotus
- Madal
- juht
- Manipuleerimine
- mai..
- keskmine
- vahendid
- micro
- Microsoft
- Microsoft Edge
- Microsoft Windows
- Microsoft Word
- kuu
- rohkem
- kõige
- palju
- Vajadus
- vajav
- neto
- võrk
- võrgustikud
- võrgud ja teenused
- Uus
- ei
- mitte ükski
- normaalne
- märkida
- number
- Ilmne
- of
- Office
- Büroo 365
- on
- ONE
- ainult
- avamine
- tegutsevad
- operatsioonisüsteemi
- or
- organisatsioonid
- Muu
- teised
- välja
- pakend
- paar
- pane
- Parool
- Plaaster
- Patch teisipäev
- Paikade
- Lappimine
- Õigused
- Platon
- Platoni andmete intelligentsus
- PlatoData
- post
- potentsiaalselt
- Eelvaade
- Peamine
- Eelnev
- prioriteetide
- Prioriteet
- privileeg
- privilegeeritud
- privileegid
- probleeme
- Toode
- Programm
- varaline
- protokoll
- Tõesta
- volikiri
- avalik
- avalikult
- panema
- hinnang
- jõudis
- Lugemine
- põhjustel
- Taastuma
- Sõltumata sellest
- Relee
- vabastatud
- kauge
- esindab
- nõutav
- Vajab
- teadustöö
- uurija
- Teadlased
- kaasa
- tulemuseks
- Oht
- ROBERT
- jooks
- s
- Ütlesin
- ütleb
- stsenaarium
- skoor
- turvalisus
- saatmine
- vanem
- September
- teenus
- Teenused
- komplekt
- raske
- jagamine
- peaks
- märkimisväärne
- silva
- sarnane
- lihtsalt
- tarkvara
- allikas
- lähtekoodi
- spetsiaalselt
- eriti
- Spreading
- Personal
- seisab
- Veel
- lihtne
- oja
- streaming
- Voogesituse teenus
- stuudio
- stiil
- edukas
- Edukalt
- selline
- süsteem
- süsteemid
- suunatud
- Tcp/ip
- ütleb
- et
- .
- vargus
- Neile
- SIIS
- Seal.
- Need
- nad
- kolmanda osapoole
- see
- need
- oht
- ohus osalejad
- et
- tom
- ülemine
- Summa
- Trend
- Trend Micro
- trio
- Teisipäev
- Pöörake
- kaks
- all
- Värskendused
- Kasutus
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutamine
- väärtuslik
- versioon
- kaudu
- Video
- Haavatavused
- haavatavus
- kuidas
- Hästi
- millal
- mis
- kuigi
- Metsik
- aknad
- koos
- jooksul
- ilma
- sõna
- oleks
- Sinu
- sephyrnet
- null
- Null päev