מיקרוסופט הקלה על צוותי אבטחה ארגוניים לשנת 2024 עם עדכון אבטחה קל יחסית לינואר המורכב מתיקונים ל-48 CVEs ייחודיים, רק שניים מהם זיהתה החברה כבעלי חומרה קריטית.
זה החודש השני ברציפות, ה-Patch Tuesday של מיקרוסופט לא כלל באגים של יום אפס, כלומר מנהלי מערכת לא יצטרכו להתמודד עם נקודות תורפה חדשות שתוקפים מנצלים באופן פעיל כרגע - דבר שקרה לעתים קרובות ב-2023.
רק שני באגים קריטיים בחומרה
כפי שקורה בדרך כלל, ה-CVEs זה מיקרוסופט חשפה את ה-9 בינואר השפיע על מגוון רחב של מוצריה וכללו פגיעויות הסלמה של הרשאות, פגמים בביצוע קוד מרחוק, באגים לעקוף אבטחה ופגיעויות אחרות. החברה סיווגה 46 מהפגמים כבעלי חומרה חשובה, כולל כמה שתוקפים היו בסבירות גבוהה יותר מאשר לא לנצל.
אחד משני באגי חומרה קריטיים בעדכון האחרון של מיקרוסופט הוא CVE-2024-20674, תכונת אבטחה של Windows Kerberos עוקפת פגיעות המאפשרת לתוקפים לעקוף מנגנוני אימות ולהפעיל התקפות התחזות. "תוקפים יכולים לנצל את הפגם הזה באמצעות התקפת מכונה באמצע (MitM)", אומר סעיד עבאסי, מנהל חקר פגיעות ב-Qualys בהערות ל-Dark Reading. "הם משיגים זאת על ידי הגדרת תרחיש של זיוף רשת מקומית ולאחר מכן שליחת הודעות Kerberos זדוניות כדי להערים על מחשב לקוח להאמין שהם מתקשרים עם שרת אימות לגיטימי של Kerberos."
הפגיעות מחייבת מהתוקף גישה לאותה רשת מקומית כמו היעד. זה לא ניתן לניצול מרחוק דרך האינטרנט ודורש קרבה לרשת הפנימית. למרות זאת, קיימת סבירות גבוהה לניסיונות ניצול אקטיביים בעתיד הקרוב, אומר עבאסי.
קן ברין, מנהל בכיר לחקר איומים במעבדות Immersive, זיהה CVE-2024-20674 בתור באג שארגונים יעשו טוב אם יתקנו במהירות. "סוגים אלה של וקטורי תקיפה הם תמיד בעלי ערך עבור גורמי איומים כמו מפעילי תוכנות כופר וברוקרי גישה", מכיוון שהם מאפשרים גישה משמעותית לרשתות ארגוניות, לפי הצהרה מאת Breen.
הפגיעות הקריטית הנוספת בקבוצת עדכוני האבטחה העדכנית של מיקרוסופט היא CVE-2024-20700, פגיעות של ביצוע קוד מרחוק בטכנולוגיית Windows Hyper-Virtualization. הפגיעות אינה קלה במיוחד לניצול מכיוון שכדי לעשות זאת, תוקף כבר יצטרך להיות קודם כל בתוך הרשת וצמוד למחשב פגיע, על פי הצהרה מאת בן מקארתי, מהנדס אבטחת סייבר מוביל ב-Immersive Labs.
הפגיעות כרוכה גם במצב גזע - סוג של בעיה שקשה יותר לתוקף לנצל מאשר סוגי פגיעות רבים אחרים. "הפגיעות הזו שוחררה כניצול פחות סביר אבל מכיוון שה-Hyper-V פועל בתור ההרשאות הגבוהות ביותר במחשב, כדאי לחשוב על תיקון", אמר מקארתי.
באגים בביצוע קוד מרחוק בעדיפות גבוהה
חוקרי אבטחה הצביעו על שני באגים נוספים של RCE בעדכון ינואר שזוכים לתשומת לב בעדיפות: CVE-2024-21307 ב-Windows Remote Desktop Client ו CVE-2024-21318 ב-SharePoint Server.
מיקרוסופט זיהתה את CVE-2024-21307 כנקודת תורפה שתוקפים נוטים יותר לנצל אותה, אך סיפקה מידע מועט על הסיבה לכך, לפי Breen. החברה ציינה שתוקפים לא מורשים צריכים להמתין עד שמשתמש יזום חיבור כדי שיוכל לנצל את הפגיעות.
"משמעות הדבר היא שהתוקפים צריכים ליצור שרת RDP זדוני ולהשתמש בטכניקות הנדסה חברתית על מנת להערים על משתמש להתחבר", אמר ברין. "זה לא כל כך קשה כמו שזה נשמע, מכיוון שקל יחסית לתוקפים להגדיר שרתי RDP זדוניים ואז שליחת קבצי .rdp במיילים פירושו שהמשתמש צריך רק לפתוח את הקובץ המצורף כדי להפעיל את הניצול."
עוד כמה באגים ניתנים להסלמה של פריבילגיה
העדכון של מיקרוסופט לינואר כלל תיקונים למספר פרצות הסלמה של הרשאות. בין החמורים שבהם הוא עבור CVE-2023-21310, באג להסלמה של הרשאות במנהל התקן מסנן מיני של Windows Cloud Files. הפגם דומה מאוד ל CVE-2023-36036, פגיעות הסלמה של הרשאות אפס יום באותה טכנולוגיה, שמיקרוסופט חשפה ב עדכון אבטחה בנובמבר 2023.
תוקפים ניצלו באופן פעיל את הפגם הזה כדי לנסות להשיג הרשאות ברמת המערכת במכונות מקומיות - דבר שהם יכולים לעשות גם עם הפגיעות החדשה שנחשפה. "סוג זה של שלב הסלמה של הרשאות נראה לעתים קרובות על ידי גורמי איומים בהתפשרות ברשת", אמר ברין. "זה יכול לאפשר לתוקף להשבית כלי אבטחה או להפעיל כלים להטלת אישורים כמו Mimikatz שיכולים לאפשר תנועה לרוחב או פגיעה בחשבונות דומיין."
כמה מהבאגים החשובים האחרים להסלמה של הרשאות כלולים CVE-2024-20653 ב-Windows Common Log File System, CVE-2024-20698 ב-Windows Kernel, CVE-2024-20683 ב-Win32k, ו-CVE-2024-20686 ב-Win32k. מיקרוסופט דירגה את כל הפגמים הללו כבעיות שתוקפים נוטים יותר לנצל, לפי הצהרה מאת Satnam Narang, מהנדס מחקר בכיר בחברת Tenable. "באגים אלה משמשים בדרך כלל כחלק מפעילות לאחר פשרה", אמר. "כלומר, ברגע שהתוקפים קיבלו דריסת רגל ראשונית למערכות."
בין הפגמים שמיקרוסופט דירגה כחשובים, אך דורשים התייחסות מהירה, הוא CVE-2024-0056, תכונת עקיפת אבטחה ב-SQL, אומר עבאסי. הפגם מאפשר לתוקף לבצע התקפת מכונה באמצע, ליירט ולשנות תעבורת TLS בין לקוח לשרת, הוא מציין. "אם מנוצל, תוקף יכול לפענח, לקרוא או לשנות תעבורת TLS מאובטחת, תוך הפרת סודיות ושלמות הנתונים." עבאסי אומר שתוקף יכול גם למנף את הפגם כדי לנצל את SQL Server דרך ספק הנתונים של SQL.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/ics-ot-security/critical-windows-kerberos-bug-microsoft-security-bypass
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 2023
- 2024
- 46
- a
- יכול
- אודות
- גישה
- פי
- חשבונות
- להשיג
- פעיל
- באופן פעיל
- פעילות
- שחקנים
- סמוך
- מנהלים
- מושפע
- תעשיות
- מאפשר
- כְּבָר
- גם
- תמיד
- בין
- an
- ו
- כל
- ARE
- AS
- At
- לתקוף
- המתקפות
- ניסיונות
- תשומת לב
- אימות
- BE
- כי
- היה
- להיות
- להאמין
- בן
- בֵּין
- ברוקרים
- חרק
- באגים
- אבל
- by
- לעקוף
- CAN
- מקרה
- מְסוּוָג
- לקוחות
- ענן
- קוד
- הערות
- Common
- בדרך כלל
- תקשורת
- חברה
- פשרה
- המחשב
- מצב
- סודיות
- מקשר
- הקשר
- מורכב
- יכול
- לִיצוֹר
- תְעוּדָה
- קריטי
- אבטחת סייבר
- כהה
- קריאה אפלה
- נתונים
- פענוח
- שולחן העבודה
- DID
- קשה
- מְנַהֵל
- do
- תחום
- נהג
- קל
- מיילים
- לאפשר
- מאפשר
- מהנדס
- הנדסה
- מִפְעָל
- אבטחה ארגונית
- הסלמה
- במיוחד
- Ether (ETH)
- אֲפִילוּ
- הוצאת להורג
- לנצל
- ניצול
- ומנוצל
- מאפיין
- מעטים
- שלח
- קבצים
- לסנן
- ראשון
- פגם
- פגמים
- בעד
- בתדירות גבוהה
- החל מ-
- עתיד
- לְהַשִׂיג
- צבר
- קרה
- קשה
- יש
- he
- גָבוֹהַ
- הגבוה ביותר
- HTTPS
- מזוהה
- if
- immersive
- חשוב
- in
- לכלול
- כלול
- כולל
- מידע
- בתחילה
- ליזום
- בתוך
- שלמות
- פנימי
- אינטרנט
- אל תוך
- כרוך
- סוגיה
- בעיות
- IT
- שֶׁלָה
- יאן
- יָנוּאָר
- jpg
- רק
- מעבדות
- האחרון
- לשגר
- עוֹפֶרֶת
- לגיטימי
- פחות
- רמה
- תנופה
- אוֹר
- כמו
- סְבִירוּת
- סביר
- קְצָת
- מקומי
- היכנס
- מכונה
- מכונה
- זדוני
- מנהל
- רב
- משמעות
- אומר
- מנגנוני
- לִזכּוֹת
- הודעות
- מיקרוסופט
- MITM
- לשנות
- רֶגַע
- חוֹדֶשׁ
- יותר
- רוב
- תנועה
- ליד
- צורך
- רשת
- רשתות
- חדש
- חדש
- ניסט
- ציין
- הערות
- עַכשָׁיו
- of
- on
- פעם
- רק
- לפתוח
- מפעילי
- or
- להזמין
- ארגונים
- אחר
- יותר
- חלק
- תיקון
- תיקון יום שלישי
- טלאים
- תיקון
- לבצע
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- פוטנציאל
- עדיפות
- זְכוּת
- הרשאות
- מוצרים
- ובלבד
- ספק
- מָהִיר
- מהירות
- גזע
- רכס
- מדורג
- ransomware
- מדורג
- חומר עיוני
- קריאה
- יחסית
- שוחרר
- מרחוק
- מרחוק
- דורש
- מחקר
- חוקרים
- הפעלה
- פועל
- s
- אמר
- אותו
- אומר
- תרחיש
- שְׁנִיָה
- לבטח
- אבטחה
- כלי אבטחה
- עדכון אבטחה
- עדכוני אבטחה
- לראות
- שליחה
- לחצני מצוקה לפנסיונרים
- שרת
- שרתים
- סט
- הצבה
- כמה
- קשה
- חוּמרָה
- SharePoint
- משמעותי
- דומה
- So
- חֶברָתִי
- הנדסה חברתית
- משהו
- SQL
- סגל
- הצהרה
- שלב
- ישר
- מערכת
- מערכות
- T
- יעד
- צוותי
- טכניקות
- טכנולוגיה
- מֵאֲשֶׁר
- זֶה
- השמיים
- אותם
- אז
- שם.
- אלה
- הֵם
- חושב
- זֶה
- איום
- איום שחקנים
- TLS
- ל
- כלים
- תְנוּעָה
- להפעיל
- לנסות
- יום שלישי
- שתיים
- סוג
- סוגים
- בדרך כלל
- לא מורשה
- ייחודי
- עדכון
- עדכונים
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- בעל ערך
- מאוד
- באמצעות
- פגיעויות
- פגיעות
- פגיע
- לחכות
- טוֹב
- היו
- אשר
- למה
- רָחָב
- טווח רחב
- חלונות
- עם
- נצחנות
- ראוי
- היה
- זפירנט