Corectează acum: bug-ul critic Windows Kerberos ocolește securitatea Microsoft

Microsoft a ușurat echipele de securitate ale întreprinderilor în 2024 cu o actualizare de securitate relativ ușoară din ianuarie, constând din patch-uri pentru 48 de CVE-uri unice, dintre care doar două compania le-a identificat ca fiind de gravitate critică.

Pentru a doua lună consecutiv, Patch-ul de marți de la Microsoft nu a inclus erori zero-day, ceea ce înseamnă că administratorii nu vor trebui să se confrunte cu noi vulnerabilități pe care atacatorii le exploatează în mod activ în acest moment - lucru care s-a întâmplat frecvent în 2023.

Doar două erori de gravitate critică

După cum este de obicei cazul, CVE-urile care Microsoft a dezvăluit 9 ianuarie a afectat o gamă largă de produse și a inclus vulnerabilități de escaladare a privilegiilor, defecte de execuție a codului de la distanță, erori de ocolire a securității și alte vulnerabilități. Compania a clasificat 46 dintre defecte ca fiind de gravitate importantă, inclusiv câteva pe care atacatorii erau mai probabil să le exploateze.

Una dintre cele două erori critice de severitate din cea mai recentă actualizare Microsoft este CVE-2024-20674, o vulnerabilitate de ocolire a caracteristicii de securitate Windows Kerberos care permite atacatorilor să ocolească mecanismele de autentificare și să lanseze atacuri de uzurpare a identității. „Atacatorii pot exploata acest defect printr-un atac de tip machine-in-the-middle (MitM)”, spune Saeed Abbasi, manager de cercetare a vulnerabilităților la Qualys, în comentarii pentru Dark Reading. „Ei reușesc acest lucru instalând un scenariu de falsificare a rețelei locale și apoi trimițând mesaje Kerberos rău intenționate pentru a păcăli o mașină client să creadă că comunică cu un server de autentificare Kerberos legitim.”

Vulnerabilitatea necesită ca atacatorul să aibă acces la aceeași rețea locală ca și ținta. Nu este exploatabil de la distanță prin Internet și necesită apropierea de rețeaua internă. Chiar și așa, există o probabilitate mare de încercări active de exploatare în viitorul apropiat, spune Abbasi.

Ken Breen, director senior de cercetare a amenințărilor la Immersive Labs, a identificat CVE-2024-20674 ca o eroare pe care organizațiile ar face bine să o corecteze rapid. „Aceste tipuri de vectori de atac sunt întotdeauna valoroși pentru actorii amenințărilor, cum ar fi operatorii de ransomware și brokerii de acces”, deoarece permit acces semnificativ la rețelele întreprinderii, potrivit unei declarații a lui Breen.

Cealaltă vulnerabilitate critică din cel mai recent lot de actualizări de securitate Microsoft este CVE-2024-20700, o vulnerabilitate de execuție a codului de la distanță în tehnologia Windows Hyper-Virtualization. Vulnerabilitatea nu este deosebit de ușor de exploatat, deoarece pentru a face acest lucru, un atacator ar trebui să fie mai întâi în interiorul rețelei și lângă un computer vulnerabil, potrivit unei declarații a lui Ben McCarthy, inginer principal de securitate cibernetică la Immersive Labs.

Vulnerabilitatea implică, de asemenea, o condiție de rasă - un tip de problemă care este mai greu de exploatat pentru un atacator decât multe alte tipuri de vulnerabilități. „Această vulnerabilitate a fost eliberată ca exploatare mai puțin probabilă, dar pentru că Hyper-V rulează ca cele mai înalte privilegii într-un computer, merită să ne gândim la corecție”, a spus McCarthy.

Erori de execuție a codului de la distanță cu prioritate ridicată

Cercetătorii de securitate au subliniat alte două erori RCE în actualizarea din ianuarie care merită atenție prioritară: CVE-2024-21307 în Windows Remote Desktop Client și CVE-2024-21318 în SharePoint Server.

Microsoft a identificat CVE-2024-21307 ca fiind o vulnerabilitate pe care atacatorii sunt mai predispuși să o exploateze, dar a furnizat puține informații despre motiv, potrivit lui Breen. Compania a observat că atacatorii neautorizați trebuie să aștepte ca un utilizator să inițieze o conexiune pentru a putea exploata vulnerabilitatea.  

„Aceasta înseamnă că atacatorii trebuie să creeze un server RDP rău intenționat și să folosească tehnici de inginerie socială pentru a păcăli un utilizator să se conecteze”, a spus Breen. „Acest lucru nu este atât de dificil pe cât pare, deoarece serverele RDP rău intenționate sunt relativ ușor de configurat de către atacatori, iar apoi trimiterea de atașamente .rdp în e-mailuri înseamnă că un utilizator trebuie doar să deschidă atașamentul pentru a declanșa exploit.”

Câteva erori mai exploatabile de escaladare a privilegiilor

Actualizarea Microsoft din ianuarie a inclus corecții pentru mai multe vulnerabilități de escaladare a privilegiilor. Printre cele mai severe dintre ele este pentru CVE-2023-21310, o eroare de escaladare a privilegiilor în Windows Cloud Files Mini Filter Driver. Defectul este foarte asemănător cu CVE-2023-36036, o vulnerabilitate de escaladare a privilegiilor zero-day în aceeași tehnologie, pe care Microsoft a dezvăluit-o în documentul său Actualizare securitate noiembrie 2023.

Atacatorii au exploatat în mod activ acest defect pentru a încerca să obțină privilegii la nivel de sistem pe mașinile locale - ceva ce pot face și cu vulnerabilitatea recent dezvăluită. „Acest tip de pas de escaladare a privilegiilor este adesea văzut de actorii amenințărilor în compromisuri de rețea”, a spus Breen. „Poate permite atacatorului să dezactiveze instrumentele de securitate sau să ruleze instrumente de descărcare a acreditărilor, cum ar fi Mimikatz, care pot activa apoi mișcarea laterală sau compromisul conturilor de domeniu.”

Unele dintre celelalte erori importante de escaladare a privilegiilor sunt incluse CVE-2024-20653 în sistemul de fișiere jurnal comun Windows, CVE-2024-20698 în Windows Kernel, CVE-2024-20683 în Win32k, și CVE-2024-20686 în Win32k. Microsoft a evaluat toate aceste defecte drept probleme pe care atacatorii sunt mai susceptibili să le exploateze, potrivit unei declarații a lui Satnam Narang, inginer de cercetare senior la Tenable. „Aceste bug-uri sunt utilizate în mod obișnuit ca parte a activității post-compromis”, a spus el. „Adică, odată ce atacatorii au căpătat un loc inițial pe sisteme.”

Printre defectele pe care Microsoft le-a clasat ca fiind importante, dar care necesită o atenție rapidă, se numără CVE-2024-0056, o caracteristică de bypass de securitate în SQL, spune Abbasi. Defectul îi permite unui atacator să efectueze un atac de tip mașină din mijloc, interceptând și potențial modificând traficul TLS între un client și un server, notează el. „Dacă este exploatat, un atacator ar putea decripta, citi sau modifica traficul TLS securizat, încălcând confidențialitatea și integritatea datelor.” Abbasi spune că un atacator ar putea, de asemenea, să folosească defectul pentru a exploata SQL Server prin intermediul furnizorului de date SQL.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/ics-ot-security/critical-windows-kerberos-bug-microsoft-security-bypass