Microsoft käsitteli viisi kriittistä tietoturvahaavoittuvuutta syyskuun korjauspäivitystiistai-päivityksessään sekä kaksi "tärkeäksi" luokiteltua nollapäivää aktiivisen hyökkäyksen alla luonnossa.
Microsoft julkaisi kaikkiaan 59 uutta korjaustiedostoa, jotka korjaavat tuotevalikoiman vikoja: Ne vaikuttavat Microsoft Windowsiin, Exchange Serveriin, Officeen, .NET:iin ja Visual Studioon, Azureen, Microsoft Dynamicsiin ja Windows Defenderiin.
Päivitys sisältää myös kourallisen kolmannen osapuolen ongelmia, mukaan lukien aktiivisesti hyödynnetty, kriittinen Chromium nollapäivän bugi joka vaikuttaa Microsoft Edgeen. Ulkoisten kysymysten kanssa CVE:itä on yhteensä 65.
Korjausten laajuudesta huolimatta tutkijat totesivat, että paikannuksen priorisointi on melko yksinkertaista tässä kuussa, sillä nollapäivät, kriittiset virheet ja ongelmat Microsoft Exchange Serverissä ja TCP/IP-protokollan Windows-toteutuksessa joutuvat menemään etusijalle. linja useimmille organisaatioille.
Microsoft Zero-Days Active Exploitissa
Vaikka kaksi CVE:stä on listattu uhkatoimijoiden käyttämänä luonnossa ennen korjausta, vain yksi on listattu julkisesti tunnetuksi. Molempien pitäisi olla luettelon kärjessä korjausta varten, ilmeisistä syistä.
Julkinen bugi löytyy Microsoft Wordista (CVE-2023-36761, CVSS 6.2); se luokitellaan "tietojen paljastamisen" ongelmaksi, mutta Dustin Childs, Trend Micron Zero Day Initiativen (ZDI) tutkija, huomautti, että tämä vääristää sen vakavuutta.
"Hyökkääjä voisi käyttää tätä haavoittuvuutta salliakseen NTLM-tiivisteiden paljastamisen, joita sitten oletettavasti käytettäisiin NTLM-rele tyylinen hyökkäys”, hän selitti tiistaina Microsoftin syyskuun päivityksen julkaiseminen. "Luokituksesta riippumatta esikatseluruutu on tässäkin vektori, mikä tarkoittaa, että käyttäjän toimia ei tarvita. Laita tämä ehdottomasti testaus- ja käyttöönottoluettelosi kärkeen."
Toinen nollapäivä on olemassa Windows-käyttöjärjestelmässä (CVE-2023-36802, CVSS 7.8), erityisesti Microsoft Streamin suoratoistopalvelun välityspalvelimessa (aiemmin Office 365 Video). Onnistunut hyödyntäminen edellyttää, että hyökkääjän on suoritettava erityisesti suunniteltu ohjelma, joka sallii oikeuksien eskaloinnin joko järjestelmänvalvojan tai järjestelmän oikeuksiksi neuvonnan mukaan.
"Se on kahdeksas nollapäivän haavoittuvuuden korotus luonnossa vuonna 2023", Tenablen vanhempi tutkimusinsinööri Satnam Narang kertoo Dark Readingille. "Koska hyökkääjillä on a lukemattomia tapoja rikkoa organisaatioita, pelkkä pääsy järjestelmään ei välttämättä aina riitä, jolloin etuoikeusvirheiden korotuksesta tulee paljon arvokkaampaa, varsinkin nollapäivistä."
Syyskuu 2023 Kriittiset haavoittuvuudet
Mitä tulee kriittisiin virheisiin, yksi huolestuttavammista on CVE-2023-29332, löytyy Microsoftin Azure Kubernetes -palvelusta. Sen avulla etäkäyttöinen, todentamaton hyökkääjä voi voittaa Kubernetes-klusteri järjestelmänvalvojan oikeudet.
"Tämä erottuu edukseen, koska siihen pääsee Internetistä, se ei vaadi käyttäjän vuorovaikutusta ja se on listattu vähäisen monimutkaiseksi", Childs varoitti viestissään. "Tämän virheen etäkäyttöisen, todentamattoman puolen perusteella tämä voi osoittautua varsin houkuttelevaksi hyökkääjille."
Kolme kriittisistä korjauksista ovat RCE-ongelmia, jotka vaikuttavat Visual Studioon (CVE-2023-36792, CVE-2023-36793ja CVE-2023-36796, kaikilla CVSS-pisteillä 7.8). Kaikki ne voivat johtaa mielivaltaisen koodin suorittamiseen, kun haitallinen pakettitiedosto avataan, jos ohjelmistoversio on vaikutukseltaan.
"Kun otetaan huomioon Visual Studio's laajalle levinnyt kehittäjien keskuudessa, tällaisten haavoittuvuuksien vaikutuksella voi olla dominoefekti, joka levittää haitat paljon alun perin vaarantuneen järjestelmän ulkopuolelle", Tom Bowyer, Automoxin tuoteturvallisuuspäällikkö. sanoi viestissä. "Pahimmassa tapauksessa tämä voi tarkoittaa patentoidun lähdekoodin varkautta tai korruptoitumista, takaovien käyttöönottoa tai haitallista peukalointia, joka voi muuttaa sovelluksesi käynnistyslevyksi hyökkäyksille muita vastaan."
Viimeinen kriittinen kysymys on CVE-2023-38148 (CVSS 8.8, vakavin, jonka Microsoft korjasi tässä kuussa), joka mahdollistaa todentamattoman etäkoodin suorittamisen Windowsin Internet-yhteyden jakamistoiminnon (ICS) kautta. Sen riskiä pienentää se, että hyökkääjän on oltava verkon vieressä; Lisäksi useimmat organisaatiot eivät enää käytä ICS:ää. Niiden, jotka edelleen käyttävät sitä, tulee kuitenkin korjata heti.
"Jos hyökkääjät hyödyntävät onnistuneesti tätä haavoittuvuutta, luottamuksellisuus, eheys ja saatavuus voi menettää kokonaan", sanoo Natalie Silva, Immersive Labsin kyberturvallisuusinsinööri. "Luvaton hyökkääjä voi hyödyntää tätä haavoittuvuutta lähettämällä palveluun erityisesti muodostetun verkkopaketin. Tämä voi johtaa mielivaltaisen koodin suorittamiseen, mikä voi johtaa luvattomaan käyttöön, tietojen manipulointiin tai palvelujen häiriöihin."
Muut priorisoitavat Microsoft-korjaukset
Syyskuun päivitykseen sisältyy myös joukko Microsoft Exchange Server -virheitä, joita pidetään "todennäköisemmin hyödynnettyinä".
Ongelmakolmio (CVE-2023-36744, CVE-2023-36745ja CVE-2023-36756, joiden kaikkien CVSS-luokitus on 8.0) vaikuttavat versioihin 2016–2019 ja mahdollistavat RCE-hyökkäykset palvelua vastaan.
"Vaikka mikään näistä hyökkäyksistä ei johda RCE:hen itse palvelimessa, se voi sallia verkon viereisen hyökkääjän, jolla on kelvolliset tunnistetiedot, muuttaa käyttäjätietoja tai saada aikaan Net-NTLMv2-hajautuskohteen kohdennetulle käyttäjätilille, joka puolestaan voidaan murtaa palauttaakseen käyttäjän salasana tai välitetty verkon sisällä hyökätäkseen toiseen palveluun”, sanoo Robert Reeves, Immersiven kyberturvallisuusinsinööri.
Hän lisää: "Jos etuoikeutetuilla käyttäjillä - joilla on verkkotunnuksen järjestelmänvalvojat tai vastaavat oikeudet verkossa - on Microsoftin turvallisuusohjeiden vastaisesti luotu postilaatikko Exchangeen, tällaisella välityshyökkäyksellä voi olla merkittäviä seurauksia."
Ja lopuksi, Automoxin tutkijat ilmoittivat palvelunestohaavoittuvuuden (DoS) Windows TCP/IP:ssä (CVE-2023-38149, CVSS 7.5) priorisoitavaksi.
Virhe vaikuttaa kaikkiin verkkojärjestelmiin, ja "sallii hyökkääjän verkkovektorin kautta häiritä palvelua ilman käyttäjän todennusta tai suurta monimutkaisuutta", sanoi Automox CISO Jason Kikta. Patch Tuesdayn erittely. ”Tämä haavoittuvuus on merkittävä uhka… digitaaliselle maisemille. Näitä heikkouksia voidaan hyödyntää palvelimien ylikuormittamiseen, mikä häiritsee verkkojen ja palveluiden normaalia toimintaa ja aiheuttaa sen, että ne eivät ole käyttäjien käytettävissä."
Kaikki tämä ei vaikuta järjestelmiin, joissa IPv6 on poistettu käytöstä.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- ChartPrime. Nosta kaupankäyntipeliäsi ChartPrimen avulla. Pääsy tästä.
- BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
- Lähde: https://www.darkreading.com/application-security/microsoft-patches-pair-of-actively-exploited-zero-days
- :On
- :ei
- :missä
- 2023
- 65
- 7
- 8
- a
- pääsy
- Mukaan
- Tili
- poikki
- aktiivinen
- aktiivisesti
- toimijoiden
- osoitettu
- käsitellään
- Lisää
- admin
- hallinto
- neuvot
- neuvontapalvelut
- vaikuttaa
- vastaan
- Kaikki
- sallia
- mahdollistaa
- pitkin
- Myös
- aina
- keskuudessa
- an
- ja
- Toinen
- Kaikki
- Hakemus
- OVAT
- AS
- ulkomuoto
- At
- hyökkäys
- Hyökkäykset
- Authentication
- saatavuus
- Taivaansininen
- Takaportteja
- perustua
- BE
- koska
- tulevat
- ovat
- Jälkeen
- sekä
- leveys
- Erittely
- Vika
- Bugs
- mutta
- by
- CAN
- aiheuttaen
- kromi
- CISO
- luokittelu
- luokiteltu
- koodi
- tulee
- monimutkaisuus
- Vaarantunut
- koskevat
- luottamuksellisuus
- liitäntä
- Seuraukset
- päinvastainen
- korruptio
- voisi
- säröillä
- muotoillun
- luotu
- Valtakirja
- kriittinen
- tietoverkkojen
- tumma
- Pimeää luettavaa
- tiedot
- päivä
- katsotaan
- ehdottomasti
- digitaalinen
- vammaiset
- ilmitulo
- Häiritä
- Häiriö
- verkkotunnuksen
- DOS
- dynamiikka
- reuna
- vaikutus
- Kahdeksas
- myöskään
- insinööri
- tarpeeksi
- laajenemisen
- erityisesti
- Eetteri (ETH)
- Vaihdetaan
- teloitus
- olemassa
- selitti
- Käyttää hyväkseen
- hyväksikäyttö
- hyödynnetään
- ulkoinen
- tosiasia
- melko
- filee
- lopullinen
- Vihdoin
- viisi
- Merkityt
- puutteita
- varten
- ennen
- löytyi
- alkaen
- etuosa
- toiminto
- toiminta
- edelleen
- Saada
- saada
- tietty
- painovoima
- kourallinen
- vahingoittaa
- hasis
- Olla
- he
- pää
- tätä
- Korkea
- hänen
- Kuitenkin
- HTTPS
- ICS
- if
- heti
- mukaansatempaava
- Vaikutus
- täytäntöönpano
- tärkeä
- in
- mukana
- Mukaan lukien
- sisältää
- tiedot
- ensin
- aloite
- eheys
- vuorovaikutus
- sisäisesti
- Internet
- Internet-yhteys
- tulee
- esittely
- kysymys
- kysymykset
- IT
- SEN
- itse
- jpg
- tunnettu
- Kubernetes
- Labs
- Landschaft
- Launchpad
- johtaa
- Todennäköisesti
- linja
- Lista
- lueteltu
- kauemmin
- pois
- Matala
- johtaja
- Manipulointi
- Saattaa..
- tarkoittaa
- välineet
- mikro
- Microsoft
- Microsoft Edge
- Microsoft Windows
- Microsoft Word
- Kuukausi
- lisää
- eniten
- paljon
- Tarve
- tarvitsevat
- netto
- verkko
- verkot
- verkot ja palvelut
- Uusi
- Nro
- Ei eristetty
- normaali
- huomattava
- numero
- Ilmeinen
- of
- Office
- Office 365
- on
- ONE
- vain
- avaaminen
- toiminta
- käyttöjärjestelmän
- or
- organisaatioiden
- Muut
- Muuta
- ulos
- paketti
- pari
- lasi
- Salasana
- läikkä
- patch tiistai
- Merkit
- kauneuspilkku
- Oikeudet
- Platon
- Platonin tietotieto
- PlatonData
- Kirje
- mahdollisesti
- preview
- Pääasiallinen
- Aikaisempi
- priorisointi
- Asettaa etusijalle
- etuoikeus
- etuoikeutettu
- oikeudet
- ongelmia
- Tuotteet
- Ohjelma
- patentoitu
- protokolla
- todistaa
- valtuutettu
- julkinen
- julkisesti
- laittaa
- luokitus
- saavutettu
- Lukeminen
- syistä
- toipua
- riippumatta
- Rele
- julkaistu
- kaukosäädin
- edustaa
- tarvitaan
- Vaatii
- tutkimus
- tutkija
- Tutkijat
- johtua
- Saatu ja
- Riski
- ROBERT
- ajaa
- s
- Said
- sanoo
- skenaario
- pisteet
- turvallisuus
- lähettäminen
- vanhempi
- syyskuu
- palvelu
- Palvelut
- setti
- vaikea
- jakaminen
- shouldnt
- merkittävä
- silva
- samankaltainen
- yksinkertaisesti
- Tuotteemme
- lähde
- lähdekoodi
- erityisesti
- erityisesti
- leviäminen
- Henkilöstö
- seisoo
- Yhä
- suora
- virta
- streaming
- Suoratoistopalvelu
- studio
- tyyli
- onnistunut
- Onnistuneesti
- niin
- järjestelmä
- järjestelmät
- kohdennettu
- TCP / IP
- kertoo
- että
- -
- varkaus
- Niitä
- sitten
- Siellä.
- Nämä
- ne
- kolmannen osapuolen
- tätä
- ne
- uhkaus
- uhka toimijat
- että
- tom
- ylin
- Yhteensä
- Trend
- Trend Micro
- trio
- tiistai
- VUORO
- kaksi
- varten
- Päivitykset
- Käyttö
- käyttää
- käytetty
- käyttäjä
- Käyttäjät
- käyttämällä
- arvokas
- versio
- kautta
- Video
- haavoittuvuuksia
- alttius
- tavalla
- HYVIN
- kun
- joka
- vaikka
- Villi
- ikkunat
- with
- sisällä
- ilman
- sana
- olisi
- Sinun
- zephyrnet
- nolla-
- Zero Day