A Microsoft öt kritikus biztonsági rést kezelt a szeptemberi javítási keddi frissítésében, valamint két „fontos” besorolású nulla napot, amelyet aktívan támadtak a vadonban.
A Microsoft összesen 59 új javítást adott ki a termékskála hibáira: ezek érintik a Microsoft Windows-t, az Exchange Server-t, az Office-t, a .NET-et és a Visual Studio-t, az Azure-t, a Microsoft Dynamics-t és a Windows Defendert.
A frissítés néhány harmadik féltől származó problémát is tartalmaz, köztük egy aktívan kihasznált, kritikus Chromium nulladik napi hiba ami a Microsoft Edge-t érinti. A külső problémákkal együtt a CVE-k száma összesen 65.
A javítások széles köre ellenére a kutatók megjegyezték, hogy ebben a hónapban a javítások fontossági sorrendbe állítása meglehetősen egyszerű, mivel a nulladik napok, a kritikus hibák és a Microsoft Exchange Server, valamint a TCP/IP protokoll Windows-implementációjának problémái az első helyen kell hogy járjanak. a vonal a legtöbb szervezet számára.
Microsoft Zero-Days Under Active Exploit
Míg a CVE-k közül kettőt a fenyegetés szereplői a természetben használtak a foltozás előtt, csak egy szerepel nyilvánosan ismertként. Mindkettőnek a javítási lista elején kell lennie, nyilvánvaló okokból.
A nyilvános hiba a Microsoft Wordben található (CVE-2023 36761-, CVSS 6.2); ez „információs nyilvánosságra hozatal” kérdésnek minősül, de Dustin Childs, a Trend Micro Zero Day Initiative (ZDI) kutatója megjegyezte, hogy ez megcáfolja annak súlyát.
„A támadó felhasználhatja ezt a biztonsági rést, hogy lehetővé tegye az NTLM-kivonatok felfedését, amelyeket aztán feltehetően egy NTLM-relay stílusú támadás– magyarázta egy keddi cikkben közzététele a Microsoft szeptemberi javítási kiadásában. „A besorolástól függetlenül az előnézeti panel itt is egy vektor, ami azt jelenti, hogy nincs szükség felhasználói beavatkozásra. Határozottan tegye ezt a tesztelési és telepítési listája élére.”
A másik nulladik nap létezik a Windows operációs rendszerben (CVE-2023 36802-, CVSS 7.8), kifejezetten a Microsoft Stream streaming szolgáltatás proxyjában (korábbi nevén Office 365 Video). A sikeres kihasználáshoz a támadónak egy speciálisan kialakított programot kell futtatnia, amely lehetővé teszi a jogosultságok kiterjesztését adminisztrátori vagy rendszerjogosultságokra, a figyelmeztetés szerint.
„Ez a 2023-ban a vadonban kihasznált nulladik napi sebezhetőség nyolcadik emelése” – mondta Satnam Narang, a Tenable vezető kutatómérnöke a Dark Readingnek. „Mivel a támadók a a szervezetek feltörésének számtalan módja, nem biztos, hogy mindig elég egy rendszerhez való hozzáférés, így a privilégiumhibák növelése sokkal értékesebbé válik, különösen a nulladik napok esetében.”
2023. szeptember Kritikus biztonsági rések
Amikor a kritikus hibákról van szó, az egyik aggasztóbb CVE-2023 29332-, megtalálható a Microsoft Azure Kubernetes szolgáltatásában. Lehetővé teheti, hogy egy távoli, nem hitelesített támadó nyerjen Kubernetes Cluster adminisztrációs jogosultságokat.
„Ez kiemelkedik, mivel az internetről elérhető, nem igényel felhasználói beavatkozást, és alacsony bonyolultságúként szerepel” – figyelmeztetett Childs bejegyzésében. "A hiba távoli, nem hitelesített aspektusa alapján ez elég csábítónak bizonyulhat a támadók számára."
A kritikus besorolású javítások közül három RCE-probléma, amely a Visual Studio (CVE-2023 36792-, CVE-2023 36793-és CVE-2023 36796-7.8 CVSS-pontszámmal). Ezek mindegyike tetszőleges kódfuttatáshoz vezethet, amikor egy rosszindulatú csomagfájlt nyit meg a szoftver érintett verziójával.
„Adott a Visual Studio széles körben elterjedt a fejlesztők körében, az ilyen sérülékenységek dominóhatást válthatnak ki, és a kárt jóval túlterjedhetik az eredetileg kompromittált rendszeren” – mondta Tom Bowyer, az Automox termékbiztonsági menedzsere mondta egy bejegyzésben. "A legrosszabb forgatókönyv szerint ez a védett forráskód ellopását vagy megrongálását, hátsó ajtók bevezetését vagy rosszindulatú manipulációt jelenthet, amely az alkalmazást mások elleni támadások indítópultjává változtathatja."
Az utolsó kritikus kérdés az CVE-2023 38148- (CVSS 8.8, a legsúlyosabb, amelyet a Microsoft ebben a hónapban javított), amely lehetővé teszi a hitelesítés nélküli távoli kódfuttatást az Internet Connection Sharing (ICS) funkción keresztül a Windows rendszerben. Kockázatát csökkenti az a tény, hogy a támadónak a hálózat közelében kell lennie; továbbá a legtöbb szervezet már nem használja az ICS-t. Azoknak azonban, akik még használják, azonnal javítaniuk kell.
„Ha a támadók sikeresen kihasználják ezt a biztonsági rést, a bizalmasság, az integritás és a rendelkezésre állás teljes elvesztésével járhat” – mondja Natalie Silva, az Immersive Labs vezető kiberbiztonsági mérnöke. „Egy jogosulatlan támadó kihasználhatja ezt a biztonsági rést, ha speciálisan kialakított hálózati csomagot küld a szolgáltatásnak. Ez tetszőleges kód végrehajtásához vezethet, ami illetéktelen hozzáférést, adatmanipulációt vagy a szolgáltatások megszakítását eredményezheti.”
Egyéb fontosabb Microsoft javítások
A szeptemberi frissítés tartalmaz egy sor Microsoft Exchange Server-hibát is, amelyek „nagyobb valószínűséggel kihasználhatók”.
A kérdések hármasa (CVE-2023 36744-, CVE-2023 36745-és CVE-2023 36756-, mindegyik 8.0-s CVSS-besorolással) érinti a 2016-2019-es verziókat, és lehetővé teszi a szolgáltatás elleni RCE-támadásokat.
„Bár ezen támadások egyike sem eredményez RCE-t magán a szerveren, lehetővé teheti, hogy a hálózat szomszédos támadója érvényes hitelesítő adatokkal módosítsa a felhasználói adatokat, vagy Net-NTLMv2 hash-t váltson ki egy megcélzott felhasználói fiókhoz, amely viszont feltörhető a helyreállításhoz. egy felhasználói jelszót, vagy a hálózaton belül közvetítik egy másik szolgáltatás megtámadására” – mondja Robert Reeves, az Immersive kiberbiztonsági mérnöke.
Hozzáteszi: „Ha a privilegizált felhasználók – a Domain Admin vagy hasonló jogosultságokkal rendelkező felhasználók a hálózaton belül – postafiókot hoztak létre az Exchange-en, a Microsoft biztonsági tanácsaival ellentétben, egy ilyen továbbítási támadásnak jelentős következményei lehetnek.”
Végül az Automox kutatói szolgáltatásmegtagadási (DoS) biztonsági rést jeleztek a Windows TCP/IP-ben (CVE-2023 38149-, CVSS 7.5), mint egy prioritást.
A hiba minden hálózati rendszert érint, és „lehetővé teszi a támadók számára, hogy egy hálózati vektoron keresztül megzavarják a szolgáltatást felhasználói hitelesítés vagy nagy bonyolultság nélkül” – mondta Jason Kikta, az Automox CISO munkatársa. a Patch Tuesday meghibásodása. „Ez a sebezhetőség jelentős fenyegetést jelent… a digitális tájra. Ezek a gyengeségek kihasználhatók a szerverek túlterhelésére, megzavarva a hálózatok és szolgáltatások normál működését, és elérhetetlenné tehetik azokat a felhasználók számára.”
Mindezek ellenére a letiltott IPv6 rendszereket ez nem érinti.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- ChartPrime. Emelje fel kereskedési játékát a ChartPrime segítségével. Hozzáférés itt.
- BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
- Forrás: https://www.darkreading.com/application-security/microsoft-patches-pair-of-actively-exploited-zero-days
- :is
- :nem
- :ahol
- 2023
- 65
- 7
- 8
- a
- hozzáférés
- Szerint
- Fiók
- át
- aktív
- aktívan
- szereplők
- címzett
- címzés
- Hozzáteszi
- admin
- igazgatás
- tanács
- tanácsadó
- érint
- ellen
- Minden termék
- lehetővé
- lehetővé teszi, hogy
- mentén
- Is
- mindig
- között
- an
- és a
- Másik
- bármilyen
- Alkalmazás
- VANNAK
- AS
- megjelenés
- At
- támadás
- Támadások
- Hitelesítés
- elérhetőség
- Égszínkék
- Hátsóajtó
- alapján
- BE
- mert
- válik
- hogy
- Túl
- mindkét
- szélesség
- Bontás
- Bogár
- bogarak
- de
- by
- TUD
- okozó
- króm
- CISO
- besorolás
- osztályozott
- kód
- jön
- bonyolultság
- Veszélyeztetett
- vonatkozó
- titoktartási
- kapcsolat
- Következmények
- ellentétes
- vesztegetés
- tudott
- repedt
- kidolgozott
- készítette
- Hitelesítő adatok
- kritikai
- Kiberbiztonság
- sötét
- Sötét olvasmány
- dátum
- nap
- tekinteni
- minden bizonnyal
- digitális
- Tiltva
- közzététel
- megszakítása
- Zavar
- domain
- DOS
- dinamika
- él
- hatás
- Nyolcadik
- bármelyik
- mérnök
- elég
- eszkaláció
- különösen
- Eter (ETH)
- csere
- végrehajtás
- létezik
- magyarázható
- Exploit
- kizsákmányolás
- Hasznosított
- külső
- tény
- meglehetősen
- filé
- utolsó
- Végül
- öt
- megjelölve
- hibái
- A
- korábban
- talált
- ból ből
- front
- funkció
- működése
- további
- Nyereség
- szerzés
- adott
- gravitációs
- maréknyi
- kárt
- hash
- Legyen
- he
- fej
- itt
- Magas
- övé
- azonban
- HTTPS
- ICS
- if
- azonnal
- immersive
- Hatás
- végrehajtás
- fontos
- in
- beleértve
- Beleértve
- magában
- információ
- alapvetően
- Kezdeményezés
- sértetlenség
- kölcsönhatás
- belsőleg
- Internet
- Internet kapcsolat
- bele
- Bevezetés
- kérdés
- kérdések
- IT
- ITS
- maga
- jpg
- ismert
- Kubernetes
- Labs
- táj
- Launchpad
- vezet
- Valószínű
- vonal
- Lista
- Listázott
- hosszabb
- le
- Elő/Utó
- menedzser
- Manipuláció
- Lehet..
- jelent
- eszközök
- mikro
- microsoft
- Microsoft él
- Microsoft Windows
- Microsoft Word
- Hónap
- több
- a legtöbb
- sok
- Szükség
- igénylő
- háló
- hálózat
- hálózatok
- hálózatok és szolgáltatások
- Új
- nem
- Egyik sem
- normális
- neves
- szám
- Nyilvánvaló
- of
- Office
- Office 365
- on
- ONE
- csak
- nyitás
- üzemeltetési
- operációs rendszer
- or
- szervezetek
- Más
- Egyéb
- ki
- csomag
- pár
- üvegtábla
- Jelszó
- Tapasz
- folt kedd
- Patches
- Foltozás
- engedélyek
- Plató
- Platón adatintelligencia
- PlatoData
- állás
- potenciálisan
- Preview
- Fő
- Előzetes
- fontossági sorrend
- Fontossági sorrendet
- kiváltság
- kiváltságos
- kiváltságok
- problémák
- Termékek
- Program
- szabadalmazott
- protokoll
- Bizonyít
- meghatalmazott
- nyilvános
- nyilvánosan
- tesz
- értékelés
- elérte
- Olvasás
- miatt
- Meggyógyul
- Tekintet nélkül
- Relé
- felszabaduló
- távoli
- jelentése
- kötelező
- megköveteli,
- kutatás
- kutató
- kutatók
- eredményez
- kapott
- Kockázat
- ROBERT
- futás
- s
- Mondott
- azt mondja,
- forgatókönyv
- pontszám
- biztonság
- elküldés
- idősebb
- szeptember
- szolgáltatás
- Szolgáltatások
- készlet
- szigorú
- megosztás
- kellene
- jelentős
- silva
- hasonló
- egyszerűen
- szoftver
- forrás
- forráskód
- különösen
- kifejezetten
- terjedés
- Személyzet
- állványok
- Még mindig
- egyértelmű
- folyam
- folyó
- Streaming szolgáltatás
- stúdió
- stílus
- sikeres
- sikeresen
- ilyen
- rendszer
- Systems
- célzott
- Tcp / ip
- megmondja
- hogy
- A
- lopás
- Őket
- akkor
- Ott.
- Ezek
- ők
- harmadik fél
- ezt
- azok
- fenyegetés
- fenyegetés szereplői
- nak nek
- Tomi
- felső
- Végösszeg
- tendencia
- Trend Micro
- Trió
- Kedd
- FORDULAT
- kettő
- alatt
- Frissítések
- Használat
- használ
- használt
- használó
- Felhasználók
- segítségével
- Értékes
- változat
- keresztül
- videó
- sérülékenységek
- sebezhetőség
- módon
- JÓL
- amikor
- ami
- míg
- Vadon
- ablakok
- val vel
- belül
- nélkül
- szó
- lenne
- A te
- zephyrnet
- nulla
- Nulla nap