Firma Microsoft zajęła się pięcioma krytycznymi lukami w zabezpieczeniach we wrześniowej aktualizacji z wtorku, a także dwoma „ważnymi” dniami zerowymi będącymi przedmiotem aktywnego ataku na wolności.
W sumie firma Microsoft wydała 59 nowych poprawek usuwających błędy w całej gamie produktów: dotyczą one systemów Microsoft Windows, Exchange Server, Office, .NET i Visual Studio, Azure, Microsoft Dynamics i Windows Defender.
Aktualizacja zawiera także kilka problemów innych firm, w tym m.in aktywnie wykorzystywany, krytyczny błąd dnia zerowego Chromium wpływa to na Microsoft Edge. Jeśli chodzi o kwestie zewnętrzne, liczba CVE wynosi łącznie 65.
Pomimo szerokiego zakresu poprawek badacze zauważyli, że ustalanie priorytetów łatania jest w tym miesiącu dość proste, a problemy z dniami zerowymi, błędy krytyczne i problemy w programie Microsoft Exchange Server oraz implementacja protokołu TCP/IP w systemie Windows muszą wyjść na pierwszy plan linia dla większości organizacji.
Microsoft Zero-Days w ramach aktywnego exploita
Chociaż dwa z CVE są wymienione jako używane przez cyberprzestępców przed łataniem, tylko jeden jest wymieniony jako publicznie znany. Obydwa z oczywistych powodów powinny znaleźć się na szczycie listy do załatania.
Błąd publiczny został znaleziony w programie Microsoft Word (CVE-2023-36761, CVSS 6.2); klasyfikuje się go jako kwestię „ujawniania informacji”, ale Dustin Childs, badacz z inicjatywy Zero Day Initiative (ZDI) firmy Trend Micro zauważył, że przeczy to jej powadze.
„Osoba atakująca może wykorzystać tę lukę, aby umożliwić ujawnienie skrótów NTLM, które następnie prawdopodobnie zostaną wykorzystane w Atak w stylu przekaźnika NTLM– wyjaśnił we wtorek publikacja dotycząca wrześniowej wersji łatki firmy Microsoft. „Bez względu na klasyfikację, panel podglądu również tutaj jest wektorem, co oznacza, że nie jest wymagana żadna interakcja użytkownika. Zdecydowanie umieść ten produkt na szczycie listy testów i wdrożeń.”
Drugi dzień zerowy istnieje w systemie operacyjnym Windows (CVE-2023-36802, CVSS 7.8), szczególnie w serwerze proxy usługi przesyłania strumieniowego Microsoft Stream (wcześniej znanym jako Office 365 Video). Według poradnika, w celu pomyślnego wykorzystania ataku osoba atakująca musiałaby uruchomić specjalnie spreparowany program, który umożliwiłby podniesienie uprawnień do uprawnień administratora lub systemu.
„To ósma luka w zabezpieczeniach dnia zerowego podnosząca uprawnienia wykorzystywana w środowisku naturalnym w 2023 r.” – mówi Dark Reading Satnam Narang, starszy inżynier ds. badań w Tenable. „Ponieważ napastnicy mają niezliczone sposoby włamywania się do organizacji, samo uzyskanie dostępu do systemu może nie zawsze wystarczyć, w tym przypadku wady związane z podniesieniem uprawnień stają się o wiele cenniejsze, szczególnie w przypadku dni zerowych.
Wrzesień 2023 r. Krytyczne luki w zabezpieczeniach
Jeśli chodzi o błędy krytyczne, jeden z bardziej niepokojących jest CVE-2023-29332, znaleziony w usłudze Azure Kubernetes firmy Microsoft. Może pozwolić na zysk zdalnemu, nieuwierzytelnionemu atakującemu Klaster Kubernetes uprawnienia administracyjne.
„Ten wyróżnia się tym, że można do niego dotrzeć z Internetu, nie wymaga interakcji ze strony użytkownika i jest wymieniony jako łatwy w obsłudze” – ostrzegł Childs w swoim poście. „Biorąc pod uwagę zdalny, nieuwierzytelniony aspekt tego błędu, może to okazać się dość kuszące dla atakujących”.
Trzy z krytycznie ocenionych poprawek to problemy RCE wpływające na program Visual Studio (CVE-2023-36792, CVE-2023-36793, CVE-2023-36796, wszystkie z wynikiem CVSS 7.8). Wszystkie z nich mogą prowadzić do wykonania dowolnego kodu podczas otwierania złośliwego pliku pakietu z wersją oprogramowania, której dotyczy problem.
„Biorąc pod uwagę Visual Studio szerokie zastosowanie wśród programistówwpływ takich luk może wywołać efekt domina, rozprzestrzeniając szkody daleko poza początkowo zainfekowany system” – Tom Bowyer, menedżer Automox ds. bezpieczeństwa produktów, powiedział w poście. „W najgorszym przypadku może to oznaczać kradzież lub uszkodzenie zastrzeżonego kodu źródłowego, wprowadzenie backdoorów lub złośliwe modyfikacje, które mogą zamienić Twoją aplikację w platformę startową dla ataków na inne osoby”.
Ostatnią krytyczną kwestią jest CVE-2023-38148 (CVSS 8.8, najpoważniejsza wersja załatana przez Microsoft w tym miesiącu), która umożliwia nieuwierzytelnione zdalne wykonanie kodu za pośrednictwem funkcji Udostępniania połączenia internetowego (ICS) w systemie Windows. Ryzyko tego ryzyka jest ograniczone przez fakt, że osoba atakująca musiałaby znajdować się w sąsiedztwie sieci; co więcej, większość organizacji nie korzysta już z ICS. Jednakże ci, którzy nadal z niego korzystają, powinni natychmiast dokonać aktualizacji.
„Jeśli atakującym pomyślnie wykorzystają tę lukę, może nastąpić całkowita utrata poufności, integralności i dostępności” – mówi Natalie Silva, główny inżynier ds. cyberbezpieczeństwa w Immersive Labs. „Nieupoważniony atakujący może wykorzystać tę lukę, wysyłając do usługi specjalnie spreparowany pakiet sieciowy. Może to prowadzić do wykonania dowolnego kodu, co może skutkować nieautoryzowanym dostępem, manipulacją danymi lub zakłóceniami usług.
Inne poprawki Microsoft, które należy traktować priorytetowo
We wrześniowej aktualizacji uwzględniono także zestaw błędów programu Microsoft Exchange Server, które uznano za „bardziej podatne na wykorzystanie”.
Trzy kwestie (CVE-2023-36744, CVE-2023-36745, CVE-2023-36756, wszystkie z oceną CVSS 8.0) wpływają na wersje 2016–2019 i umożliwiają ataki RCE na usługę.
„Chociaż żaden z tych ataków nie powoduje RCE na samym serwerze, może pozwolić atakującemu sąsiadującemu z siecią z prawidłowymi poświadczeniami na zmianę danych użytkownika lub wywołanie skrótu Net-NTLMv2 dla docelowego konta użytkownika, które z kolei można złamać w celu odzyskania hasło użytkownika lub przekazywane wewnętrznie w sieci w celu ataku na inną usługę” – mówi Robert Reeves, główny inżynier ds. cyberbezpieczeństwa w Immersive.
Dodaje: „Jeśli uprzywilejowani użytkownicy — ci z uprawnieniami administratora domeny lub podobnymi uprawnieniami w sieci — utworzyli skrzynkę pocztową na serwerze Exchange, wbrew wskazówkom firmy Microsoft dotyczącym bezpieczeństwa, taki atak typu Relay może mieć poważne konsekwencje”.
Na koniec badacze z Automox zasygnalizowali lukę w zabezpieczeniach typu „odmowa usługi” (DoS) w protokole Windows TCP/IP (CVE-2023-38149, CVSS 7.5) jako priorytet.
Błąd wpływa na każdy system sieciowy i „umożliwia atakującemu za pośrednictwem wektora sieciowego zakłócenie usługi bez konieczności uwierzytelniania użytkownika lub dużej złożoności” – powiedział Automox CISO Jason Kikta, w podsumowanie Patch Tuesday. „Ta luka stanowi poważne zagrożenie… dla krajobrazu cyfrowego. Te słabe punkty można wykorzystać do przeciążenia serwerów, zakłócając normalne funkcjonowanie sieci i usług i powodując ich niedostępność dla użytkowników”.
To powiedziawszy, nie ma to wpływu na systemy z wyłączonym protokołem IPv6.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- ChartPrime. Podnieś poziom swojej gry handlowej dzięki ChartPrime. Dostęp tutaj.
- Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
- Źródło: https://www.darkreading.com/application-security/microsoft-patches-pair-of-actively-exploited-zero-days
- :Jest
- :nie
- :Gdzie
- 2023
- 65
- 7
- 8
- a
- dostęp
- Stosownie
- Konto
- w poprzek
- aktywny
- aktywnie
- aktorzy
- zaadresowany
- adresowanie
- Dodaje
- Admin
- administracja
- Rada
- doradczy
- oddziaływać
- przed
- Wszystkie kategorie
- dopuszczać
- pozwala
- wzdłuż
- również
- zawsze
- wśród
- an
- i
- Inne
- każdy
- Zastosowanie
- SĄ
- AS
- aspekt
- At
- atakować
- Ataki
- Uwierzytelnianie
- dostępność
- Lazur
- Backdoory
- na podstawie
- BE
- bo
- stają się
- jest
- Poza
- obie
- szerokość
- awaria
- Bug
- błędy
- ale
- by
- CAN
- spowodowanie
- chrom
- CISO
- klasyfikacja
- sklasyfikowany
- kod
- byliśmy spójni, od początku
- kompleksowość
- Zagrożone
- o
- poufność
- połączenie
- Konsekwencje
- przeciwnie
- Korupcja
- mógłby
- pęknięty
- wykonane
- stworzony
- Listy uwierzytelniające
- krytyczny
- Bezpieczeństwo cybernetyczne
- Ciemny
- Mroczne czytanie
- dane
- dzień
- uważane
- Zdecydowanie
- cyfrowy
- niepełnosprawny
- ujawnienie
- Zakłócać
- Zakłócenie
- domena
- DOS
- dynamika
- krawędź
- efekt
- Ósma
- bądź
- inżynier
- dość
- eskalacja
- szczególnie
- Eter (ETH)
- wymiana
- egzekucja
- istnieje
- wyjaśnione
- Wykorzystać
- eksploatacja
- eksploatowany
- zewnętrzny
- fakt
- dość
- filet
- finał
- W końcu
- pięć
- taflowy
- Skazy
- W razie zamówieenia projektu
- dawniej
- znaleziono
- od
- z przodu
- funkcjonować
- funkcjonowanie
- dalej
- Wzrost
- miejsce
- dany
- powaga
- garstka
- zaszkodzić
- haszysz
- Have
- he
- głowa
- tutaj
- Wysoki
- jego
- Jednak
- HTTPS
- ICS
- if
- natychmiast
- wciągające
- Rezultat
- realizacja
- ważny
- in
- włączony
- Włącznie z
- zawiera
- Informacja
- początkowo
- inicjatywa
- integralność
- wzajemne oddziaływanie
- wewnętrznie
- Internet
- połączenie internetowe
- najnowszych
- Wprowadzenie
- problem
- problemy
- IT
- JEGO
- samo
- jpg
- znany
- Kubernetes
- Labs
- krajobraz
- Launchpad
- prowadzić
- Prawdopodobnie
- Linia
- Lista
- Katalogowany
- dłużej
- od
- niski
- kierownik
- Manipulacja
- Może..
- oznaczać
- znaczy
- mikro
- Microsoft
- Microsoft Edge
- Microsoft Windows
- Microsoft Word
- Miesiąc
- jeszcze
- większość
- dużo
- Potrzebować
- potrzeba
- netto
- sieć
- sieci
- sieci i usługi
- Nowości
- Nie
- żaden
- normalna
- zauważyć
- numer
- oczywista
- of
- Biurowe
- Biuro 365
- on
- ONE
- tylko
- otwarcie
- operacyjny
- system operacyjny
- or
- organizacji
- Inne
- Pozostałe
- na zewnątrz
- pakiet
- đôi
- chleb
- Hasło
- Łata
- Patch wtorek
- Łatki
- łatanie
- uprawnienia
- plato
- Analiza danych Platona
- PlatoDane
- Post
- potencjalnie
- Podgląd
- Główny
- Wcześniejszy
- priorytetyzacja
- Priorytet
- przywilej
- uprzywilejowany
- przywileje
- problemy
- Produkt
- Program
- własność
- protokół
- Udowodnij
- pełnomocnik
- publiczny
- publicznie
- położyć
- ocena
- osiągnięty
- Czytający
- Przyczyny
- Recover
- Bez względu
- Przekaźnik
- wydany
- zdalny
- reprezentuje
- wymagany
- Wymaga
- Badania naukowe
- badacz
- Badacze
- dalsze
- wynikły
- Ryzyko
- ROBERT
- run
- s
- Powiedział
- mówią
- scenariusz
- wynik
- bezpieczeństwo
- wysyłanie
- senior
- wrzesień
- usługa
- Usługi
- zestaw
- ciężki
- dzielenie
- powinien
- znaczący
- silva
- podobny
- po prostu
- Tworzenie
- Źródło
- Kod źródłowy
- specjalnie
- swoiście
- Rozpościerający się
- Personel
- stojaki
- Nadal
- bezpośredni
- strumień
- Streaming
- Usługa transmisji strumieniowej
- studio
- styl
- udany
- Z powodzeniem
- taki
- system
- systemy
- ukierunkowane
- Tcp/IP
- mówi
- że
- Połączenia
- kradzież
- Im
- następnie
- Tam.
- Te
- one
- innych firm
- to
- tych
- groźba
- podmioty grożące
- do
- tom
- Top
- Kwota produktów:
- Trend
- Trend Micro
- trio
- Wtorek
- SKRĘCAĆ
- drugiej
- dla
- Aktualizacja
- Stosowanie
- posługiwać się
- używany
- Użytkownik
- Użytkownicy
- za pomocą
- Cenny
- wersja
- przez
- Wideo
- Luki w zabezpieczeniach
- wrażliwość
- sposoby
- DOBRZE
- jeśli chodzi o komunikację i motywację
- który
- Podczas
- Dziki
- okna
- w
- w ciągu
- bez
- słowo
- by
- Twój
- zefirnet
- zero
- Zero Day