Microsoft ha risolto cinque vulnerabilità critiche della sicurezza nel suo aggiornamento Patch Tuesday di settembre, insieme a due zero-day classificati come “importanti” sotto attacco attivo in natura.
In totale, Microsoft ha rilasciato 59 nuove patch che risolvono bug in tutta la gamma di prodotti: interessano Microsoft Windows, Exchange Server, Office, .NET e Visual Studio, Azure, Microsoft Dynamics e Windows Defender.
L'aggiornamento incorpora anche una manciata di problemi di terze parti, incluso un Bug zero-day critico di Chromium attivamente sfruttato che influisce su Microsoft Edge. Considerando le questioni esterne, il numero di CVE ammonta a 65.
Nonostante l’ampiezza delle correzioni, i ricercatori hanno notato che la definizione delle priorità per l’applicazione delle patch questo mese è abbastanza semplice, con gli zero-day, i bug critici e i problemi in Microsoft Exchange Server e nell’implementazione Windows del protocollo TCP/IP che devono essere messi in primo piano. la linea per la maggior parte delle organizzazioni.
Microsoft Zero-Days sotto Active Exploit
Mentre due dei CVE sono elencati come utilizzati da autori di minacce in natura prima dell'applicazione delle patch, solo uno è elencato come pubblicamente noto. Entrambi dovrebbero essere in cima alla lista per le patch, per ovvie ragioni.
Il bug pubblico si trova in Microsoft Word (CVE-2023-36761, CVSS 6.2); è classificato come un problema di “divulgazione di informazioni”, ma Dustin Childs, ricercatore della Zero Day Initiative (ZDI) di Trend Micro, ha notato che ciò ne smentisce la gravità.
"Un utente malintenzionato potrebbe sfruttare questa vulnerabilità per consentire la divulgazione degli hash NTLM, che verrebbero presumibilmente utilizzati in un Attacco in stile relè NTLM”, ha spiegato in un martedì pubblicazione sul rilascio della patch di settembre di Microsoft. “Indipendentemente dalla classificazione, anche qui il riquadro di anteprima è un vettore, il che significa che non è richiesta alcuna interazione da parte dell'utente. Mettilo sicuramente in cima alla tua lista di test e distribuzione."
L'altro giorno zero esiste nel sistema operativo Windows (CVE-2023-36802, CVSS 7.8), in particolare nel proxy del servizio di streaming di Microsoft Stream (precedentemente noto come Office 365 Video). Per uno sfruttamento efficace, secondo l'avviso, un utente malintenzionato dovrebbe eseguire un programma appositamente predisposto che consenta l'escalation dei privilegi ai privilegi di amministratore o di sistema.
“Si tratta dell’ottava elevazione del privilegio della vulnerabilità zero-day sfruttata in natura nel 2023”, dice a Dark Reading Satnam Narang, ingegnere ricercatore senior di Tenable. “Perché gli aggressori hanno a miriadi di modi per violare le organizzazioni, ottenere semplicemente l’accesso a un sistema potrebbe non essere sempre sufficiente, ed è qui che i difetti legati all’elevazione dei privilegi diventano molto più preziosi, soprattutto gli zero-day”.
Settembre 2023 Vulnerabilità critiche
Quando si tratta dei bug critici, uno dei più preoccupanti è CVE-2023-29332, presente nel servizio Azure Kubernetes di Microsoft. Potrebbe consentire a un utente malintenzionato remoto e non autenticato di guadagnare Cluster Kubernetes privilegi di amministrazione.
"Questo si distingue perché può essere raggiunto da Internet, non richiede l'interazione dell'utente ed è classificato come a bassa complessità", ha avvertito Childs nel suo post. "Visto l'aspetto remoto e non autenticato di questo bug, questo potrebbe rivelarsi piuttosto allettante per gli aggressori."
Tre delle patch classificate come critiche sono problemi RCE che interessano Visual Studio (CVE-2023-36792, CVE-2023-36793e CVE-2023-36796, tutti con un punteggio CVSS di 7.8). Tutti potrebbero portare all'esecuzione di codice arbitrario quando si apre un file di pacchetto dannoso con una versione interessata del software.
“Dato Visual Studio utilizzo diffuso tra gli sviluppatori, l'impatto di tali vulnerabilità potrebbe avere un effetto domino, diffondendo il danno ben oltre il sistema inizialmente compromesso", Tom Bowyer, responsabile della sicurezza del prodotto di Automox, ha detto in un post. "Nello scenario peggiore, ciò potrebbe significare il furto o la corruzione del codice sorgente proprietario, l'introduzione di backdoor o manomissioni dannose che potrebbero trasformare la tua applicazione in un trampolino di lancio per attacchi ad altri."
L’ultima questione critica è CVE-2023-38148 (CVSS 8.8, il più grave a cui Microsoft ha applicato la patch questo mese), che consente l'esecuzione di codice remoto non autenticato tramite la funzione Condivisione connessione Internet (ICS) in Windows. Il suo rischio è mitigato dal fatto che un utente malintenzionato dovrebbe essere adiacente alla rete; inoltre, la maggior parte delle organizzazioni non utilizza più gli ICS. Tuttavia, coloro che lo utilizzano ancora dovrebbero applicare immediatamente la patch.
“Se gli aggressori sfruttassero con successo questa vulnerabilità, potrebbe verificarsi una perdita totale di riservatezza, integrità e disponibilità”, afferma Natalie Silva, ingegnere capo della sicurezza informatica per Immersive Labs. “Un utente malintenzionato non autorizzato potrebbe sfruttare questa vulnerabilità inviando al servizio un pacchetto di rete appositamente predisposto. Ciò potrebbe portare all’esecuzione di codice arbitrario, con conseguente accesso non autorizzato, manipolazione dei dati o interruzione dei servizi”.
Altre patch Microsoft a cui dare priorità
Nell'aggiornamento di settembre sono inclusi anche una serie di bug di Microsoft Exchange Server che si ritiene "hanno maggiori probabilità di essere sfruttati".
Il trio di problemi (CVE-2023-36744, CVE-2023-36745e CVE-2023-36756, tutti con una valutazione CVSS di 8.0) influenzano le versioni 2016-2019 e consentono attacchi RCE contro il servizio.
"Sebbene nessuno di questi attacchi provochi un RCE sul server stesso, potrebbe consentire a un utente malintenzionato adiacente alla rete con credenziali valide di alterare i dati dell'utente o ottenere un hash Net-NTLMv2 per un account utente preso di mira, che a sua volta potrebbe essere violato per recuperare una password dell’utente o inoltrata internamente alla rete per attaccare un altro servizio”, afferma Robert Reeves, principale ingegnere della sicurezza informatica presso Immersive.
Aggiunge: "Se gli utenti privilegiati - quelli con autorizzazioni di amministratore di dominio o autorizzazioni simili all'interno della rete - avessero una casella di posta creata su Exchange, contrariamente ai consigli di sicurezza di Microsoft, un tale attacco di inoltro potrebbe avere conseguenze significative."
Infine, i ricercatori di Automox hanno segnalato una vulnerabilità di tipo Denial of Service (DoS) nel protocollo TCP/IP di Windows (CVE-2023-38149, CVSS 7.5) come uno a cui dare priorità.
Il bug colpisce qualsiasi sistema di rete e "consente a un utente malintenzionato tramite un vettore di rete di interrompere il servizio senza alcuna autenticazione dell'utente o elevata complessità", ha affermato Jason Kikta, CISO di Automox. una ripartizione del Patch Tuesday. “Questa vulnerabilità rappresenta una minaccia significativa… per il panorama digitale. Queste debolezze possono essere sfruttate per sovraccaricare i server, interrompendo il normale funzionamento delle reti e dei servizi e rendendoli indisponibili agli utenti”.
Detto questo, i sistemi con IPv6 disabilitato non sono interessati.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Grafico Prime. Migliora il tuo gioco di trading con ChartPrime. Accedi qui.
- BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
- Fonte: https://www.darkreading.com/application-security/microsoft-patches-pair-of-actively-exploited-zero-days
- :È
- :non
- :Dove
- 2023
- 65
- 7
- 8
- a
- accesso
- Secondo
- Il mio account
- operanti in
- attivo
- attivamente
- attori
- indirizzata
- indirizzamento
- Aggiunge
- Admin
- amministrazione
- consigli
- consultivo
- influenzare
- contro
- Tutti
- consentire
- consente
- lungo
- anche
- sempre
- tra
- an
- ed
- Un altro
- in qualsiasi
- Applicazioni
- SONO
- AS
- aspetto
- At
- attacco
- attacchi
- Autenticazione
- disponibilità
- azzurro
- Backdoor
- basato
- BE
- perché
- diventare
- essendo
- Al di là di
- entrambi
- ampiezza
- Guasto
- Insetto
- bug
- ma
- by
- Materiale
- causando
- cromo
- CISO
- classificazione
- classificato
- codice
- viene
- complessità
- Compromissione
- circa
- riservatezza
- veloce
- Conseguenze
- contrario
- Corruzione
- potuto
- screpolato
- artigianale
- creato
- Credenziali
- critico
- Cybersecurity
- Scuro
- Lettura oscura
- dati
- giorno
- ritenuto
- decisamente
- digitale
- disabile
- Rivelazione
- disturbare
- Rottura
- dominio
- DOS
- dinamica
- bordo
- effetto
- Ottavo
- o
- ingegnere
- abbastanza
- intensificazione
- particolarmente
- Etere (ETH)
- exchange
- esecuzione
- esiste
- ha spiegato
- Sfruttare
- sfruttamento
- Exploited
- esterno
- fatto
- abbastanza
- Compila il
- finale
- Infine
- cinque
- contrassegnato
- difetti
- Nel
- precedentemente
- essere trovato
- da
- anteriore
- function
- funzionamento
- ulteriormente
- Guadagno
- ottenere
- dato
- gravità
- manciata
- nuocere
- hash
- Avere
- he
- capo
- qui
- Alta
- il suo
- Tuttavia
- HTTPS
- ICS
- if
- subito
- immersiva
- Impact
- implementazione
- importante
- in
- incluso
- Compreso
- incorpora
- informazioni
- inizialmente
- iniziativa
- interezza
- interazione
- internamente
- Internet
- connessione internet
- ai miglioramenti
- Introduzione
- problema
- sicurezza
- IT
- SUO
- stessa
- jpg
- conosciuto
- kubernetes
- Labs
- paesaggio
- Launchpad
- portare
- probabile
- linea
- Lista
- elencati
- più a lungo
- spento
- Basso
- direttore
- Manipolazione
- Maggio..
- significare
- si intende
- microfono
- Microsoft
- Microsoft Edge
- Microsoft Windows
- Microsoft Word
- Mese
- Scopri di più
- maggior parte
- molti
- Bisogno
- che necessitano di
- rete
- Rete
- reti
- reti e servizi
- New
- no
- Nessuna
- normale
- noto
- numero
- ovvio
- of
- Office
- Ufficio 365
- on
- ONE
- esclusivamente
- apertura
- operativo
- sistema operativo
- or
- organizzazioni
- Altro
- Altri
- su
- pacchetto
- coppia
- vetro
- Password
- Toppa
- Patch Martedì
- Patch
- patching
- permessi
- Platone
- Platone Data Intelligence
- PlatoneDati
- Post
- potenzialmente
- Anteprima
- Direttore
- Precedente
- prioritizzazione
- Dare priorità
- privilegio
- privilegiato
- privilegi
- problemi
- Prodotto
- Programma
- proprio
- protocollo
- Dimostra
- delega
- la percezione
- pubblicamente
- metti
- valutazione
- a raggiunto
- Lettura
- motivi
- Recuperare
- Indipendentemente
- staffetta
- rilasciato
- a distanza
- rappresenta
- necessario
- richiede
- riparazioni
- ricercatore
- ricercatori
- colpevole
- risultante
- Rischio
- ROBERT
- Correre
- s
- Suddetto
- dice
- scenario
- Punto
- problemi di
- invio
- anziano
- Settembre
- servizio
- Servizi
- set
- grave
- compartecipazione
- dovrebbero
- significativa
- silva
- simile
- semplicemente
- Software
- Fonte
- codice sorgente
- appositamente
- in particolare
- Diffondere
- STAFF
- si
- Ancora
- lineare
- ruscello
- Streaming
- servizio di streaming
- studio
- style
- di successo
- Con successo
- tale
- sistema
- SISTEMI DI TRATTAMENTO
- mirata
- TCP / IP
- dice
- che
- Il
- furto
- Li
- poi
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- di parti terze standard
- questo
- quelli
- minaccia
- attori della minaccia
- a
- tom
- top
- Totale
- Trend
- Trend Micro
- trio
- Martedì
- TURNO
- seconda
- per
- Aggiornanento
- Impiego
- uso
- utilizzato
- Utente
- utenti
- utilizzando
- Prezioso
- versione
- via
- Video
- vulnerabilità
- vulnerabilità
- modi
- WELL
- quando
- quale
- while
- Selvaggio
- finestre
- con
- entro
- senza
- Word
- sarebbe
- Trasferimento da aeroporto a Sharm
- zefiro
- zero
- Zero Day