Oppdater nå: Kritisk Windows Kerberos-feil omgår Microsoft-sikkerhet

Oppdater nå: Kritisk Windows Kerberos-feil omgår Microsoft-sikkerhet

Tidsstempel: 9. januar 2024 6:00
Kilde node: 3052688

Microsoft lettet bedriftssikkerhetsteam inn i 2024 med en relativt lett sikkerhetsoppdatering fra januar som består av oppdateringer for 48 unike CVE-er, hvorav bare to av selskapet identifiserte som kritisk alvorlighetsgrad.

For den andre måneden på rad inkluderte ikke Microsofts Patch Tuesday noen nulldagsfeil, noe som betyr at administratorer ikke trenger å slite med noen nye sårbarheter som angripere aktivt utnytter for øyeblikket – noe som skjedde ofte i 2023.

Bare to kritiske feil

Som vanligvis er tilfellet, CVEs som Microsoft avslørte 9. januar påvirket et bredt spekter av produktene og inkluderte sårbarheter med rettighetseskalering, feil ved ekstern kjøring av kode, sikkerhetsbypass-feil og andre sårbarheter. Selskapet klassifiserte 46 av feilene som av viktig alvorlighetsgrad, inkludert flere som angripere var mer sannsynlig enn ikke å utnytte.

En av to kritiske alvorlighetsfeil i Microsofts siste oppdatering er CVE-2024-20674, en Windows Kerberos-sikkerhetsfunksjon omgår sårbarhet som lar angripere omgå autentiseringsmekanismer og starte etterligningsangrep. "Angripere kan utnytte denne feilen via et maskin-i-midten-angrep (MitM)," sier Saeed Abbasi, leder for sårbarhetsforskning ved Qualys i kommentarer til Dark Reading. "De oppnår dette ved å sette opp et lokalt nettverksspoofingsscenario og deretter sende ondsinnede Kerberos-meldinger for å lure en klientmaskin til å tro at de kommuniserer med en legitim Kerberos-autentiseringsserver."

Sårbarheten krever at angriperen har tilgang til det samme lokale nettverket som målet. Det kan ikke fjernutnyttes over Internett og krever nærhet til det interne nettverket. Likevel er det stor sannsynlighet for aktive utnyttelsesforsøk i nær fremtid, sier Abbasi.

Ken Breen, seniordirektør for trusselforskning ved Immersive Labs, identifiserte CVE-2024-20674 som en feil som organisasjoner gjør klokt i å reparere raskt. "Denne typen angrepsvektorer er alltid verdifulle for trusselaktører som løsepengevareoperatører og tilgangsmeglere," fordi de muliggjør betydelig tilgang til bedriftsnettverk, ifølge en uttalelse fra Breen.

Den andre kritiske sårbarheten i Microsofts siste gruppe med sikkerhetsoppdateringer er CVE-2024-20700, et sikkerhetsproblem med ekstern kjøring av kode i Windows Hyper-Virtualization-teknologi. Sårbarheten er ikke spesielt lett å utnytte fordi for å gjøre det, må en angriper allerede først være inne i nettverket og ved siden av en sårbar datamaskin, ifølge en uttalelse fra Ben McCarthy, ledende cybersikkerhetsingeniør ved Immersive Labs.

Sårbarheten involverer også en rasetilstand - en type problem som er vanskeligere for en angriper å utnytte enn mange andre sårbarhetstyper. "Denne sårbarheten har blitt utgitt som utnyttelse mindre sannsynlig, men fordi Hyper-V kjører som de høyeste privilegiene i en datamaskin, er det verdt å tenke på patching," sa McCarthy.

Høyprioriterte feil ved kjøring av fjernkode

Sikkerhetsforskere pekte på to andre RCE-feil i januaroppdateringen som fortjener prioritert oppmerksomhet: CVE-2024-21307 i Windows Remote Desktop Client og CVE-2024-21318 i SharePoint Server.

Microsoft identifiserte CVE-2024-21307 som en sårbarhet som angripere er mer sannsynlig å utnytte, men har gitt lite informasjon om hvorfor, ifølge Breen. Selskapet har notert seg at uautoriserte angripere må vente på at en bruker starter en tilkobling for å kunne utnytte sårbarheten.  

"Dette betyr at angriperne må lage en ondsinnet RDP-server og bruke sosiale ingeniørteknikker for å lure en bruker til å koble seg til," sa Breen. "Dette er ikke så vanskelig som det høres ut, ettersom ondsinnede RDP-servere er relativt enkle for angripere å sette opp og deretter sende .rdp-vedlegg i e-poster betyr at en bruker bare trenger å åpne vedlegget for å utløse utnyttelsen."

Noen flere utnyttbare privilegie-eskaleringsfeil

Microsofts januaroppdatering inkluderte oppdateringer for flere sikkerhetsproblemer med rettighetseskalering. Blant de mest alvorlige av dem er for CVE-2023-21310, en rettighetsopptrappingsfeil i Windows Cloud Files Mini Filter Driver. Feilen er veldig lik CVE-2023-36036, et sikkerhetsproblem med null-dagers privilegieeskalering i samme teknologi, som Microsoft avslørte i sin Sikkerhetsoppdatering for november 2023.

Angripere utnyttet denne feilen aktivt for å prøve å få systemnivåprivilegier på lokale maskiner – noe de også kan gjøre med den nylig avslørte sårbarheten. "Denne typen privilegieeskaleringstrinn sees ofte av trusselaktører i nettverkskompromisser," sa Breen. "Det kan gjøre det mulig for angriperen å deaktivere sikkerhetsverktøy eller kjøre legitimasjonsdumpingverktøy som Mimikatz som deretter kan aktivere sideveis bevegelse eller kompromittering av domenekontoer."

Noen av de andre viktige privilegieeskaleringsfeilene inkludert CVE-2024-20653 i Windows Common Log File System, CVE-2024-20698 i Windows-kjernen, CVE-2024-20683 i Win32k, og CVE-2024-20686 i Win32k. Microsoft har vurdert alle disse feilene som problemer det er mer sannsynlig at angripere utnytter, ifølge en uttalelse fra Satnam Narang, senior forskningsingeniør ved Tenable. "Disse feilene brukes ofte som en del av aktivitet etter kompromiss," sa han. "Det vil si at når angripere først har fått fotfeste på systemene."

Blant feilene som Microsoft rangerte som viktige, men som trenger rask oppmerksomhet, er CVE-2024-0056, en sikkerhetsbypass-funksjon i SQL, sier Abbasi. Feilen gjør at en angriper kan utføre et maskin-i-midten-angrep, avskjære og potensielt endre TLS-trafikk mellom en klient og server, bemerker han. "Hvis den blir utnyttet, kan en angriper dekryptere, lese eller endre sikker TLS-trafikk, noe som bryter konfidensialiteten og integriteten til data." Abbasi sier at en angriper også kan utnytte feilen til å utnytte SQL Server via SQL Data Provider.

Tidstempel:

Mer fra Mørk lesning