Microsoft облегчила работу команд корпоративной безопасности в 2024 году, выпустив относительно легкое январское обновление безопасности, состоящее из исправлений для 48 уникальных CVE, только две из которых компания определила как имеющие критическую серьезность.
Второй месяц подряд Microsoft Patch Tuesday не выявил ни одной ошибки нулевого дня, а это означает, что администраторам не придется бороться с какими-либо новыми уязвимостями, которые злоумышленники активно используют в данный момент — что часто случалось в 2023 году.
Всего две ошибки критической серьезности
Как это обычно бывает, CVE, которые Microsoft объявила 9 января затронул широкий спектр своих продуктов и включал уязвимости повышения привилегий, недостатки удаленного выполнения кода, ошибки обхода безопасности и другие уязвимости. Компания классифицировала 46 уязвимостей как важные, включая несколько, которыми злоумышленники с большей вероятностью воспользуются.
Одна из двух критических ошибок в последнем обновлении Microsoft: CVE-2024-20674, уязвимость обхода функции безопасности Windows Kerberos, которая позволяет злоумышленникам обходить механизмы аутентификации и запускать атаки с использованием олицетворения. «Злоумышленники могут воспользоваться этой уязвимостью с помощью атаки «машина посередине» (MitM)», — говорит Саид Аббаси, менеджер по исследованию уязвимостей в Qualys, в комментариях Dark Reading. «Они достигают этого, настраивая сценарий подмены локальной сети, а затем отправляя вредоносные сообщения Kerberos, чтобы заставить клиентский компьютер поверить в то, что они общаются с законным сервером аутентификации Kerberos».
Уязвимость требует, чтобы злоумышленник имел доступ к той же локальной сети, что и цель. Его невозможно использовать удаленно через Интернет, и он требует близости к внутренней сети. Несмотря на это, существует высокая вероятность попыток активной эксплуатации в ближайшем будущем, говорит Аббаси.
Кен Брин, старший директор по исследованию угроз в Immersive Labs, определил CVE-2024-20674 как ошибку, которую организациям следовало бы быстро исправить. «Подобные векторы атак всегда ценны для таких субъектов угроз, как операторы программ-вымогателей и брокеры доступа», поскольку они обеспечивают значительный доступ к корпоративным сетям, согласно заявлению Брина.
Другая критическая уязвимость в последнем пакете обновлений безопасности Microsoft — CVE-2024-20700, уязвимость удаленного выполнения кода в технологии гипервиртуализации Windows. По словам Бена Маккарти, ведущего инженера по кибербезопасности в Immersive Labs, эту уязвимость не так-то просто эксплуатировать, поскольку для этого злоумышленнику сначала необходимо находиться внутри сети и рядом с уязвимым компьютером.
Уязвимость также связана с состоянием гонки — типом проблемы, которую злоумышленнику сложнее использовать, чем многие другие типы уязвимостей. «Эта уязвимость была выпущена как менее вероятная для использования, но поскольку Hyper-V работает с наивысшими привилегиями на компьютере, стоит подумать об исправлении», — сказал Маккарти.
Ошибки высокоприоритетного удаленного выполнения кода
Исследователи безопасности указали на две другие ошибки RCE в январском обновлении, которые заслуживают приоритетного внимания: CVE-2024-21307 в клиенте удаленного рабочего стола Windows и CVE-2024-21318 в SharePoint Server.
По словам Брина, Microsoft определила CVE-2024-21307 как уязвимость, которой злоумышленники с большей вероятностью воспользуются, но не предоставила мало информации о том, почему. Компания отметила, что неавторизованным злоумышленникам необходимо дождаться, пока пользователь инициирует соединение, чтобы иметь возможность воспользоваться уязвимостью.
«Это означает, что злоумышленникам придется создать вредоносный RDP-сервер и использовать методы социальной инженерии, чтобы обманом заставить пользователя подключиться», — сказал Брин. «Это не так сложно, как кажется, поскольку злоумышленникам относительно легко настроить вредоносные RDP-серверы, а последующая отправка вложений .rdp в электронных письмах означает, что пользователю достаточно открыть вложение, чтобы активировать эксплойт».
Еще несколько уязвимых ошибок повышения привилегий
Январское обновление Microsoft включало исправления для нескольких уязвимостей, связанных с повышением привилегий. К числу наиболее тяжелых из них относится CVE-2023-21310, ошибка повышения привилегий в драйвере мини-фильтра Windows Cloud Files. Дефект очень похож на CVE-2023-36036, уязвимость нулевого дня повышения привилегий в той же технологии, которую Microsoft раскрыла в своем Обновление безопасности за ноябрь 2023 г..
Злоумышленники активно использовали эту уязвимость, чтобы попытаться получить привилегии системного уровня на локальных машинах — то же самое они могут сделать и с недавно обнаруженной уязвимостью. «Такой шаг повышения привилегий часто наблюдается злоумышленниками при взломе сети», — сказал Брин. «Это может позволить злоумышленнику отключить инструменты безопасности или запустить инструменты сброса учетных данных, такие как Mimikatz, которые затем могут обеспечить горизонтальное перемещение или компрометацию учетных записей домена».
Включены некоторые другие важные ошибки повышения привилегий. CVE-2024-20653 в общей файловой системе журналов Windows, CVE-2024-20698 в ядре Windows, CVE-2024-20683 в Win32k, и CVE-2024-20686. в Win32k. Согласно заявлению Сатнама Наранга, старшего инженера-исследователя компании Tenable, Microsoft оценила все эти недостатки как проблемы, которые с большей вероятностью могут использовать злоумышленники. «Эти ошибки обычно используются как часть действий после компрометации», — сказал он. «То есть, как только злоумышленники получат первоначальный контроль над системами».
Среди недостатков, которые Microsoft посчитала важными, но которые требуют быстрого устранения, есть CVE-2024-0056, функция обхода безопасности в SQL, говорит Аббаси. По его словам, эта уязвимость позволяет злоумышленнику выполнить атаку «машина посередине», перехватывая и потенциально изменяя TLS-трафик между клиентом и сервером. «В случае использования злоумышленник может расшифровать, прочитать или изменить безопасный трафик TLS, нарушив конфиденциальность и целостность данных». Аббаси говорит, что злоумышленник также может использовать эту уязвимость для использования SQL Server через поставщика данных SQL.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/ics-ot-security/critical-windows-kerberos-bug-microsoft-security-bypass
- :имеет
- :является
- :нет
- $UP
- 2023
- 2024
- 46
- a
- в состоянии
- О нас
- доступ
- По
- Учетные записи
- Достигать
- активный
- активно
- деятельность
- актеры
- примыкающий
- администраторы
- пострадавших
- Все
- позволяет
- уже
- причислены
- всегда
- среди
- an
- и
- любой
- МЫ
- AS
- At
- атаковать
- нападки
- попытки
- внимание
- Аутентификация
- BE
- , так как:
- было
- не являетесь
- верить
- Бен
- между
- Брокеры
- Ошибка
- ошибки
- но
- by
- байпас
- CAN
- случаев
- классифицированный
- клиент
- облако
- код
- Комментарии
- Общий
- обычно
- общение
- Компания
- скомпрометированы
- компьютер
- состояние
- конфиденциальность
- Соединительный
- связи
- Состоящий из
- может
- Создайте
- ПОЛНОМОЧИЯ
- критической
- Информационная безопасность
- темно
- Темное чтение
- данным
- Decrypt
- компьютера
- DID
- трудный
- директор
- do
- домен
- водитель
- легко
- Писем
- включить
- позволяет
- инженер
- Проект и
- Предприятие
- безопасность предприятия
- эскалация
- особенно
- Эфир (ETH)
- Даже
- выполнение
- Эксплуатировать
- эксплуатация
- Эксплуатируемый
- Особенность
- несколько
- Файл
- Файлы
- фильтр
- First
- недостаток
- недостатки
- Что касается
- часто
- от
- будущее
- Gain
- получила
- произошло
- Сильнее
- Есть
- he
- High
- наивысший
- HTTPS
- идентифицированный
- if
- погружение
- важную
- in
- включают
- включены
- В том числе
- информация
- начальный
- инициировать
- внутри
- целостность
- в нашей внутренней среде,
- Интернет
- в
- включает в себя
- вопрос
- вопросы
- IT
- ЕГО
- Января
- январь
- JPG
- всего
- Labs
- последний
- запуск
- вести
- законный
- Меньше
- уровень
- Кредитное плечо
- легкий
- такое как
- вероятность
- Вероятно
- мало
- локальным
- журнал
- машина
- Продукция
- злонамеренный
- менеджер
- многих
- смысл
- означает
- механизмы
- Заслуга
- Сообщения
- Microsoft
- MITM
- изменять
- момент
- Месяц
- БОЛЕЕ
- самых
- движение
- Возле
- Необходимость
- сеть
- сетей
- Новые
- вновь
- NIST
- отметил,
- Заметки
- сейчас
- of
- on
- консолидировать
- только
- открытый
- Операторы
- or
- заказ
- организации
- Другое
- за
- часть
- Патчи
- Патч вторник
- Патчи
- Заделка
- выполнять
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- потенциально
- приоритет
- привилегия
- привилегии
- Продукция
- при условии
- Недвижимости
- САЙТ
- быстро
- Гонки
- ассортимент
- вошел
- вымогателей
- номинальный
- Читать
- Reading
- относительно
- выпустил
- удаленные
- удаленно
- требуется
- исследованиям
- исследователи
- Run
- работает
- s
- Сказал
- то же
- говорит
- сценарий
- Во-вторых
- безопасный
- безопасность
- средства безопасности
- обновление для системы безопасности
- обновления безопасности
- видел
- отправка
- старший
- сервер
- серверы
- набор
- установка
- несколько
- тяжелый
- строгость
- SharePoint
- значительный
- аналогичный
- So
- Соцсети
- Социальная инженерия
- удалось
- SQL
- Персонал
- заявление
- Шаг
- прямой
- система
- системы
- T
- цель
- команды
- снижения вреда
- Технологии
- чем
- который
- Ассоциация
- Их
- тогда
- Там.
- Эти
- они
- мышление
- этой
- угроза
- актеры угрозы
- TLS
- в
- инструменты
- трафик
- вызвать
- стараться
- вторник
- два
- напишите
- Типы
- типично
- неразрешенный
- созданного
- Обновление ПО
- Updates
- использование
- используемый
- Информация о пользователе
- ценный
- очень
- с помощью
- Уязвимости
- уязвимость
- Уязвимый
- ждать
- ЧТО Ж
- были
- который
- зачем
- широкий
- Широкий диапазон
- окна
- Выиграл
- стоимость
- бы
- зефирнет