מיקרוסופט התייחסה לחמש פרצות אבטחה קריטיות בעדכון ה- September Patch Tuesday שלה, יחד עם שני ימי אפס בדירוג "חשובים" תחת התקפה פעילה בטבע.
בסך הכל, מיקרוסופט פרסמה 59 תיקונים חדשים המטפלים בבאגים בכל סולם המוצרים: הם משפיעים על Microsoft Windows, Exchange Server, Office, .NET ו-Visual Studio, Azure, Microsoft Dynamics ו-Windows Defender.
העדכון משלב גם קומץ של בעיות של צד שלישי, כולל מנוצל באופן פעיל, באג קריטי Chromium zero day שמשפיע על Microsoft Edge. עם הבעיות החיצוניות, מספר ה-CVEs מסתכם ב-65.
למרות רוחב התיקונים, החוקרים ציינו שתעדוף התיקונים הוא די פשוט החודש, כאשר האפס ימים, באגים קריטיים ובעיות ב-Microsoft Exchange Server והטמעת Windows של פרוטוקול TCP/IP צריכים להגיע לחזית של הקו עבור רוב הארגונים.
Microsoft Zero-Days תחת ניצול פעיל
בעוד שניים מה-CVEs רשומים כמשמשים על ידי שחקני איומים בטבע לפני התיקון, רק אחד רשום כידוע בציבור. שניהם צריכים להיות בראש הרשימה עבור תיקון, מסיבות ברורות.
הבאג הציבורי נמצא ב- Microsoft Word (CVE-2023-36761, CVSS 6.2); זה מסווג כבעיה של "חשיפת מידע", אבל דסטין צ'יילדס, חוקר ב-Trend Micro's Zero Day Initiative (ZDI), ציין שזה סותר את חומרתה.
"תוקף יכול להשתמש בפגיעות זו כדי לאפשר חשיפת גיבובים של NTLM, שלאחר מכן ישמש ככל הנראה ב- התקפה בסגנון ממסר NTLM", הוא הסביר ביום שלישי פרסום על מהדורת התיקון של מיקרוסופט לספטמבר. "ללא קשר לסיווג, חלונית התצוגה המקדימה היא וקטור גם כאן, מה שאומר שאין צורך באינטראקציה של המשתמש. בהחלט שים את זה בראש רשימת הבדיקות והפריסה שלך."
יום האפס השני קיים במערכת ההפעלה Windows (CVE-2023-36802, CVSS 7.8), במיוחד בפרוקסי שירות הסטרימינג של Microsoft Stream (שנודע בעבר כ-Office 365 Video). לניצול מוצלח, תוקף יצטרך להפעיל תוכנית בעלת מבנה מיוחד שתאפשר הסלמה של הרשאות למנהל או להרשאות מערכת, לפי הייעוץ.
"זו הרמה השמינית של פגיעות הרשאות אפס יום שנוצלה בטבע בשנת 2023", אומר סאטנם נראנג, מהנדס מחקר בכיר ב-Tenable, ל-Dark Reading. "כי לתוקפים יש א אינספור דרכים לפרוץ ארגונים, פשוט קבלת גישה למערכת עשויה לא תמיד להיות מספיקה, וזה המקום שבו העלאת פגמי הרשאות הופכים הרבה יותר יקרים, במיוחד ימים אפס."
ספטמבר 2023 פגיעות קריטיות
כשזה מגיע לבאגים הקריטיים, אחד המדאיגים יותר הוא CVE-2023-29332, נמצא בשירות Azure Kubernetes של מיקרוסופט. זה יכול לאפשר לתוקף מרוחק ולא מאומת להרוויח אשכול Kubernetes הרשאות ניהול.
"זה בולט מכיוון שניתן להגיע אליו מהאינטרנט, אינו דורש אינטראקציה של משתמש, והוא מופיע כמורכבות נמוכה", הזהיר צ'יילדס בהודעתו. "בהתבסס על ההיבט המרוחק והלא מאומת של הבאג הזה, זה יכול להיות מפתה למדי עבור תוקפים."
שלושה מהתיקונים בדירוג קריטי הם בעיות RCE המשפיעות על Visual Studio (CVE-2023-36792, CVE-2023-36793, ו CVE-2023-36796, כולם עם ציון CVSS של 7.8). כולם עלולים להוביל לביצוע קוד שרירותי בעת פתיחת קובץ חבילה זדוני עם גרסה מושפעת של התוכנה.
"בהתחשב ב-Visual Studio's שימוש נרחב בקרב מפתחים, ההשפעה של פגיעויות כאלה עשויה להיות אפקט דומינו, ולהפיץ נזק הרבה מעבר למערכת שנפגעה בתחילה", טום בוייר, מנהל Automox לאבטחת מוצר, אמר בהודעה. "במקרה הגרוע ביותר, פירוש הדבר עשוי להיות גניבה או השחתה של קוד מקור קנייני, הכנסת דלתות אחוריות או חבלה זדונית שעלולה להפוך את האפליקציה שלך לנקודת השקה להתקפות על אחרים."
הנושא הקריטי האחרון הוא CVE-2023-38148 (CVSS 8.8, החמור ביותר שמיקרוסופט תיקנה החודש), המאפשר ביצוע קוד מרחוק לא מאומת באמצעות פונקציית שיתוף חיבור לאינטרנט (ICS) ב-Windows. הסיכון שלו מופחת על ידי העובדה שתוקף יצטרך להיות צמוד לרשת; יתר על כן, רוב הארגונים אינם משתמשים יותר ב-ICS. עם זאת, אלה שעדיין משתמשים בו צריכים לתקן מיד.
"אם תוקפים יצליחו לנצל את הפגיעות הזו, עלול להיות אובדן מוחלט של סודיות, שלמות וזמינות", אומרת נטלי סילבה, מהנדסת אבטחת סייבר ראשית של Immersive Labs. "תוקף לא מורשה עלול לנצל את הפגיעות הזו על ידי שליחת חבילת רשת בעלת מבנה מיוחד לשירות. זה עלול להוביל לביצוע של קוד שרירותי, שעלול לגרום לגישה לא מורשית, מניפולציה של נתונים או הפרעה לשירותים."
תיקוני Microsoft אחרים לתעדוף
כמו כן, כלולים בעדכון ספטמבר קבוצה של באגים של Microsoft Exchange Server הנחשבים ל"סבירות גבוהה יותר לניצול".
שלישיית הנושאים (CVE-2023-36744, CVE-2023-36745, ו CVE-2023-36756, כולם עם דירוג CVSS של 8.0) משפיעים על גרסאות 2016-2019 ומאפשרים התקפות RCE נגד השירות.
"למרות שאף אחת מההתקפות הללו לא גורמת ל-RCE בשרת עצמו, היא עלולה לאפשר לתוקף צמוד לרשת עם אישורים חוקיים לשנות את נתוני המשתמש או לעורר hash Net-NTLMv2 עבור חשבון משתמש ממוקד, אשר בתורו עלול להיסדק כדי לשחזר סיסמת משתמש או מועברת פנימית ברשת כדי לתקוף שירות אחר", אומר רוברט ריבס, מהנדס אבטחת סייבר ראשי ב-Immersive.
הוא מוסיף, "אם למשתמשים בעלי הרשאות - לבעלי הרשאות דומיין או הרשאות דומות בתוך הרשת - יש תיבת דואר שנוצרה ב-Exchange, בניגוד לעצת האבטחה של מיקרוסופט, להתקפת ממסר כזו עלולה להיות השלכות משמעותיות".
ולבסוף, חוקרים ב-Automox סימנו פגיעות של מניעת שירות (DoS) ב-Windows TCP/IP (CVE-2023-38149, CVSS 7.5) כאחד שיש לתעדף.
הבאג משפיע על כל מערכת ברשת, ו"מאפשר לתוקף באמצעות וקטור רשת לשבש את השירות ללא כל אימות משתמש או מורכבות גבוהה", אמר Automox CISO Jason Kikta, ב- פירוט של Patch Tuesday. "הפגיעות הזו מייצגת איום משמעותי... על הנוף הדיגיטלי. ניתן לנצל את החולשות הללו כדי להעמיס יתר על המידה על שרתים, לשבש את התפקוד הרגיל של רשתות ושירותים ולגרום להם להפוך ללא זמינים למשתמשים".
כל זאת, מערכות עם IPv6 מושבתות אינן מושפעות.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- ChartPrime. הרם את משחק המסחר שלך עם ChartPrime. גישה כאן.
- BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
- מקור: https://www.darkreading.com/application-security/microsoft-patches-pair-of-actively-exploited-zero-days
- :הוא
- :לֹא
- :איפה
- 2023
- 65
- 7
- 8
- a
- גישה
- פי
- חֶשְׁבּוֹן
- לרוחב
- פעיל
- באופן פעיל
- שחקנים
- ממוען
- פְּנִיָה
- מוסיף
- מנהל
- מנהל
- עצה
- ייעוץ
- להשפיע על
- נגד
- תעשיות
- להתיר
- מאפשר
- לאורך
- גם
- תמיד
- בין
- an
- ו
- אחר
- כל
- בקשה
- ARE
- AS
- אספקט
- At
- לתקוף
- המתקפות
- אימות
- זמינות
- תכלת
- דלתות אחוריות
- מבוסס
- BE
- כי
- להיות
- להיות
- מעבר
- שניהם
- רוחב
- התמוטטות
- חרק
- באגים
- אבל
- by
- CAN
- גורם
- כרום
- CISO
- מיון
- מְסוּוָג
- קוד
- מגיע
- מורכבות
- התפשר
- לגבי
- סודיות
- הקשר
- השלכות
- להפך
- שְׁחִיתוּת
- יכול
- סדוק
- מעוצב
- נוצר
- אישורים
- קריטי
- אבטחת סייבר
- כהה
- קריאה אפלה
- נתונים
- יְוֹם
- נחשב
- בהחלט
- דיגיטלי
- נכה
- חשיפה
- לשבש
- התפוררות
- תחום
- DOS
- דינמיקה
- אדג '
- השפעה
- שמונה
- או
- מהנדס
- מספיק
- הסלמה
- במיוחד
- Ether (ETH)
- חליפין
- הוצאת להורג
- קיים
- מוסבר
- לנצל
- ניצול
- ומנוצל
- חיצוני
- עובדה
- למדי
- שלח
- סופי
- בסופו של דבר
- חמש
- מסומן
- פגמים
- בעד
- לשעבר
- מצא
- החל מ-
- חזית
- פונקציה
- תִפקוּד
- נוסף
- לְהַשִׂיג
- מקבל
- נתן
- כוח משיכה
- קומץ
- לפגוע
- שירים
- יש
- he
- ראש
- כאן
- גָבוֹהַ
- שֶׁלוֹ
- אולם
- HTTPS
- ICS
- if
- מיד
- immersive
- פְּגִיעָה
- הפעלה
- חשוב
- in
- כלול
- כולל
- משלבת
- מידע
- בהתחלה
- יוזמה
- שלמות
- אינטראקציה
- כלפי פנים
- אינטרנט
- חיבור לאינטרנט
- אל תוך
- מבוא
- סוגיה
- בעיות
- IT
- שֶׁלָה
- עצמו
- jpg
- ידוע
- קוברנט
- מעבדות
- נוף
- Launchpad
- עוֹפֶרֶת
- סביר
- קו
- רשימה
- ברשימה
- עוד
- את
- נמוך
- מנהל
- מניפולציה
- מאי..
- אומר
- אומר
- מיקרו
- מיקרוסופט
- אדג מיקרוסופט
- Microsoft Windows
- Microsoft Word
- חוֹדֶשׁ
- יותר
- רוב
- הרבה
- צורך
- צורך
- נטו
- רשת
- רשתות
- רשתות ושירותים
- חדש
- לא
- ללא חתימה
- נוֹרמָלִי
- ציין
- מספר
- ברור
- of
- Office
- משרד 365
- on
- ONE
- רק
- פתיחה
- פועל
- מערכת הפעלה
- or
- ארגונים
- אחר
- אחרים
- הַחוּצָה
- חבילה
- זוג
- זגוגית
- סיסמה
- תיקון
- תיקון יום שלישי
- טלאים
- תיקון
- הרשאות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- הודעה
- פוטנציאל
- תצוגה מקדימה
- מנהל
- קודם
- סדר עדיפויות
- תיעדוף
- זְכוּת
- חסוי
- הרשאות
- בעיות
- המוצר
- תָכְנִית
- קניינית
- פרוטוקול
- להוכיח
- פרוקסי
- ציבורי
- בפומבי
- גם
- דירוג
- הגיע
- קריאה
- סיבות
- להחלים
- ללא קשר
- ממסר
- שוחרר
- מרחוק
- מייצג
- נדרש
- דורש
- מחקר
- חוקר
- חוקרים
- תוצאה
- וכתוצאה מכך
- הסיכון
- רוברט
- הפעלה
- s
- אמר
- אומר
- תרחיש
- ציון
- אבטחה
- שליחה
- לחצני מצוקה לפנסיונרים
- סֶפּטֶמבֶּר
- שרות
- שירותים
- סט
- קשה
- שיתוף
- צריך
- משמעותי
- סילבה
- דומה
- בפשטות
- תוכנה
- מָקוֹר
- קוד מקור
- במיוחד
- במיוחד
- הפצת
- סגל
- עומד
- עוד
- פשוט
- זרם
- נהירה
- שירות זרימה
- סטודיו
- סגנון
- מוצלח
- בהצלחה
- כזה
- מערכת
- מערכות
- ממוקד
- TCP / IP
- אומר
- זֶה
- השמיים
- גְנֵבָה
- אותם
- אז
- שם.
- אלה
- הֵם
- צד שלישי
- זֶה
- אלה
- איום
- איום שחקנים
- ל
- טום
- חלק עליון
- סה"כ
- מְגַמָה
- טרנד מיקרו
- שלישיה
- יום שלישי
- תור
- שתיים
- תחת
- עדכון
- נוֹהָג
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- משתמשים
- באמצעות
- בעל ערך
- גרסה
- באמצעות
- וִידֵאוֹ
- פגיעויות
- פגיעות
- דרכים
- טוֹב
- מתי
- אשר
- בזמן
- בר
- חלונות
- עם
- בתוך
- לְלֹא
- Word
- היה
- זפירנט
- אפס
- יום אפס