今すぐパッチを適用: Windows Kerberos の重大なバグにより Microsoft セキュリティがバイパスされる

Microsoft は、2024 の固有の CVE に対するパッチで構成される比較的軽い 48 月のセキュリティ アップデートで、企業のセキュリティ チームを XNUMX 年に向けて緩和しました。そのうちの XNUMX つだけが重大度が重要であると同社が特定しました。

Microsoft のパッチ チューズデーには 2023 か月連続でゼロデイ バグが含まれていませんでした。つまり、管理者は現在攻撃者が積極的に悪用している新たな脆弱性に対処する必要がなくなります。これは XNUMX 年に頻繁に発生したことです。

たった 2 つの重大度のバグ

通常の場合と同様に、CVE は Microsoftが9月XNUMX日に明らかにした。 広範囲の製品に影響を及ぼし、権限昇格の脆弱性、リモート コード実行の欠陥、セキュリティ バイパスのバグ、その他の脆弱性が含まれていました。同社は、このうち 46 件の欠陥を重要度が「重要」に分類しており、その中には攻撃者が悪用する可能性が高いものも含まれています。

Microsoft の最新アップデートに含まれる 2 つの深刻度の重大なバグのうちの 1 つは次のとおりです。 CVE-2024-20674、Windows Kerberos セキュリティ機能バイパスの脆弱性により、攻撃者が認証メカニズムをバイパスし、なりすまし攻撃を開始できるようになります。 「攻撃者は、中間マシン (MitM) 攻撃を通じてこの欠陥を悪用する可能性があります」と、Qualys の脆弱性研究マネージャー、サイード・アッバシ氏は Dark Reading へのコメントで述べています。 「彼らは、ローカル ネットワーク スプーフィング シナリオを設定し、悪意のある Kerberos メッセージを送信して、クライアント マシンが正規の Kerberos 認証サーバーと通信していると信じ込ませることでこれを実現します。」

この脆弱性を利用するには、攻撃者がターゲットと同じローカル ネットワークにアクセスする必要があります。インターネット経由でリモートから悪用することはできず、内部ネットワークに近接している必要があります。それでも、近い将来、積極的な悪用が試みられる可能性が高いとアッバシ氏は言う。

Immersive Labs の脅威研究担当シニア ディレクターである Ken Breen 氏は次のように述べています。 CVE-2024-20674 組織が迅速にパッチを適用することが望ましいバグとして考えられます。ブリーン氏の声明によると、「この種の攻撃ベクトルは、企業ネットワークへの大量のアクセスを可能にするため、ランサムウェア運営者やアクセスブローカーなどの脅威アクターにとって常に貴重なものだ」という。

Microsoft の最新のセキュリティ更新プログラムのもう 2024 つの重大な脆弱性は、Windows Hyper-Virtualization テクノロジにおけるリモート コード実行の脆弱性である CVE-20700-XNUMX です。 Immersive Labs の主任サイバーセキュリティ エンジニアである Ben McCarthy 氏の声明によると、この脆弱性を悪用するには、攻撃者がネットワーク内に存在し、脆弱なコンピュータに隣接している必要があるため、悪用するのは特に簡単ではありません。

この脆弱性には競合状態も関係しています。競合状態は、他の多くの種類の脆弱性よりも攻撃者が悪用するのが難しいタイプの問題です。 「この脆弱性は悪用の可能性が低いためリリースされましたが、Hyper-V はコンピュータの最高特権として実行されるため、パッチの適用を検討する価値があります」とマッカーシー氏は述べています。

優先度の高いリモートコード実行のバグ

セキュリティ研究者は、1 月のアップデートには、優先的に注目する価値がある他の 2 つの RCE バグを指摘しました。 CVE-2024-21307 Windows リモート デスクトップ クライアントと CVE-2024-21318 SharePointサーバーで。

Breen氏によると、MicrosoftはCVE-2024-21307を攻撃者が悪用する可能性が高い脆弱性として特定したが、その理由についてはほとんど情報を提供していないという。同社は、権限のない攻撃者がこの脆弱性を悪用するには、ユーザーが接続を開始するまで待つ必要があると指摘しています。  

「これは、攻撃者がユーザーを騙して接続させるために、悪意のある RDP サーバーを作成し、ソーシャル エンジニアリング技術を使用する必要があることを意味します」とブリーン氏は述べています。 「これは思っているほど難しくありません。悪意のある RDP サーバーは攻撃者にとって比較的簡単にセットアップでき、電子メールで .rdp 添付ファイルを送信することは、ユーザーが添付ファイルを開くだけでエクスプロイトをトリガーできることを意味します。」

さらにいくつかの悪用可能な権限昇格バグ

Microsoft の 1 月のアップデートには、いくつかの権限昇格の脆弱性に対するパッチが含まれていました。その中でも最も深刻なのは、 CVE-2023-21310、Windows クラウド ファイル ミニ フィルター ドライバーの権限昇格のバグ。欠陥は非常によく似ています CVE-2023-36036、同じテクノロジーにおけるゼロデイ権限昇格の脆弱性であり、Microsoft は 2023年XNUMX月のセキュリティアップデート.

攻撃者はこの欠陥を積極的に悪用して、ローカル マシン上でシステム レベルの権限を取得しようとしました。これは、新たに明らかになった脆弱性でも同様に実行できます。 「この種の権限昇格ステップは、ネットワーク侵害において脅威アクターによって頻繁に見られます」とブリーン氏は述べています。 「これにより、攻撃者はセキュリティ ツールを無効にしたり、Mimikatz のような資格情報ダンピング ツールを実行したりすることができ、水平移動やドメイン アカウントの侵害が可能になります。」

その他の重要な権限昇格のバグがいくつか含まれています。 CVE-2024-20653 Windows 共通ログ ファイル システムでは、 CVE-2024-20698 Windowsカーネルでは、 CVE-2024-20683 Win32kでは、 および CVE-2024-20686 Win32kでは。 Tenable のシニア スタッフ リサーチ エンジニアである Satnam Nalang 氏の声明によると、Microsoft はこれらすべての欠陥を攻撃者が悪用する可能性が高い問題として評価しています。 「これらのバグは、侵害後のアクティビティの一部としてよく使用されます」と彼は言いました。 「つまり、攻撃者がシステムへの最初の足がかりを獲得した後です。」

Microsoft が重要であるとランク付けしたが、早急な対応が必要な欠陥には、次のようなものがあります。 CVE-2024-0056、 SQL のセキュリティ バイパス機能だとアッバシ氏は言います。この欠陥により、攻撃者は中間マシン攻撃を実行でき、クライアントとサーバー間の TLS トラフィックを傍受し、変更する可能性があると同氏は指摘しています。 「悪用された場合、攻撃者は安全な TLS トラフィックを復号、読み取り、または変更し、データの機密性と完全性を侵害する可能性があります。」 Abbasi 氏は、攻撃者がこの欠陥を利用して SQL データ プロバイダー経由で SQL Server を悪用する可能性もあると述べています。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/ics-ot-security/critical-windows-kerberos-bug-microsoft-security-bypass