Исправьте сейчас: критическая ошибка Windows Kerberos обходит безопасность Microsoft

Microsoft облегчила работу команд корпоративной безопасности в 2024 году, выпустив относительно легкое январское обновление безопасности, состоящее из исправлений для 48 уникальных CVE, только две из которых компания определила как имеющие критическую серьезность.

Второй месяц подряд Microsoft Patch Tuesday не выявил ни одной ошибки нулевого дня, а это означает, что администраторам не придется бороться с какими-либо новыми уязвимостями, которые злоумышленники активно используют в данный момент — что часто случалось в 2023 году.

Всего две ошибки критической серьезности

Как это обычно бывает, CVE, которые Microsoft объявила 9 января затронул широкий спектр своих продуктов и включал уязвимости повышения привилегий, недостатки удаленного выполнения кода, ошибки обхода безопасности и другие уязвимости. Компания классифицировала 46 уязвимостей как важные, включая несколько, которыми злоумышленники с большей вероятностью воспользуются.

Одна из двух критических ошибок в последнем обновлении Microsoft: CVE-2024-20674, уязвимость обхода функции безопасности Windows Kerberos, которая позволяет злоумышленникам обходить механизмы аутентификации и запускать атаки с использованием олицетворения. «Злоумышленники могут воспользоваться этой уязвимостью с помощью атаки «машина посередине» (MitM)», — говорит Саид Аббаси, менеджер по исследованию уязвимостей в Qualys, в комментариях Dark Reading. «Они достигают этого, настраивая сценарий подмены локальной сети, а затем отправляя вредоносные сообщения Kerberos, чтобы заставить клиентский компьютер поверить в то, что они общаются с законным сервером аутентификации Kerberos».

Уязвимость требует, чтобы злоумышленник имел доступ к той же локальной сети, что и цель. Его невозможно использовать удаленно через Интернет, и он требует близости к внутренней сети. Несмотря на это, существует высокая вероятность попыток активной эксплуатации в ближайшем будущем, говорит Аббаси.

Кен Брин, старший директор по исследованию угроз в Immersive Labs, определил CVE-2024-20674 как ошибку, которую организациям следовало бы быстро исправить. «Подобные векторы атак всегда ценны для таких субъектов угроз, как операторы программ-вымогателей и брокеры доступа», поскольку они обеспечивают значительный доступ к корпоративным сетям, согласно заявлению Брина.

Другая критическая уязвимость в последнем пакете обновлений безопасности Microsoft — CVE-2024-20700, уязвимость удаленного выполнения кода в технологии гипервиртуализации Windows. По словам Бена Маккарти, ведущего инженера по кибербезопасности в Immersive Labs, эту уязвимость не так-то просто эксплуатировать, поскольку для этого злоумышленнику сначала необходимо находиться внутри сети и рядом с уязвимым компьютером.

Уязвимость также связана с состоянием гонки — типом проблемы, которую злоумышленнику сложнее использовать, чем многие другие типы уязвимостей. «Эта уязвимость была выпущена как менее вероятная для использования, но поскольку Hyper-V работает с наивысшими привилегиями на компьютере, стоит подумать об исправлении», — сказал Маккарти.

Ошибки высокоприоритетного удаленного выполнения кода

Исследователи безопасности указали на две другие ошибки RCE в январском обновлении, которые заслуживают приоритетного внимания: CVE-2024-21307 в клиенте удаленного рабочего стола Windows и CVE-2024-21318 в SharePoint Server.

По словам Брина, Microsoft определила CVE-2024-21307 как уязвимость, которой злоумышленники с большей вероятностью воспользуются, но не предоставила мало информации о том, почему. Компания отметила, что неавторизованным злоумышленникам необходимо дождаться, пока пользователь инициирует соединение, чтобы иметь возможность воспользоваться уязвимостью.  

«Это означает, что злоумышленникам придется создать вредоносный RDP-сервер и использовать методы социальной инженерии, чтобы обманом заставить пользователя подключиться», — сказал Брин. «Это не так сложно, как кажется, поскольку злоумышленникам относительно легко настроить вредоносные RDP-серверы, а последующая отправка вложений .rdp в электронных письмах означает, что пользователю достаточно открыть вложение, чтобы активировать эксплойт».

Еще несколько уязвимых ошибок повышения привилегий

Январское обновление Microsoft включало исправления для нескольких уязвимостей, связанных с повышением привилегий. К числу наиболее тяжелых из них относится CVE-2023-21310, ошибка повышения привилегий в драйвере мини-фильтра Windows Cloud Files. Дефект очень похож на CVE-2023-36036, уязвимость нулевого дня повышения привилегий в той же технологии, которую Microsoft раскрыла в своем Обновление безопасности за ноябрь 2023 г..

Злоумышленники активно использовали эту уязвимость, чтобы попытаться получить привилегии системного уровня на локальных машинах — то же самое они могут сделать и с недавно обнаруженной уязвимостью. «Такой шаг повышения привилегий часто наблюдается злоумышленниками при взломе сети», — сказал Брин. «Это может позволить злоумышленнику отключить инструменты безопасности или запустить инструменты сброса учетных данных, такие как Mimikatz, которые затем могут обеспечить горизонтальное перемещение или компрометацию учетных записей домена».

Включены некоторые другие важные ошибки повышения привилегий. CVE-2024-20653 в общей файловой системе журналов Windows, CVE-2024-20698 в ядре Windows, CVE-2024-20683 в Win32k, и CVE-2024-20686. в Win32k. Согласно заявлению Сатнама Наранга, старшего инженера-исследователя компании Tenable, Microsoft оценила все эти недостатки как проблемы, которые с большей вероятностью могут использовать злоумышленники. «Эти ошибки обычно используются как часть действий после компрометации», — сказал он. «То есть, как только злоумышленники получат первоначальный контроль над системами».

Среди недостатков, которые Microsoft посчитала важными, но которые требуют быстрого устранения, есть CVE-2024-0056, функция обхода безопасности в SQL, говорит Аббаси. По его словам, эта уязвимость позволяет злоумышленнику выполнить атаку «машина посередине», перехватывая и потенциально изменяя TLS-трафик между клиентом и сервером. «В случае использования злоумышленник может расшифровать, прочитать или изменить безопасный трафик TLS, нарушив конфиденциальность и целостность данных». Аббаси говорит, что злоумышленник также может использовать эту уязвимость для использования SQL Server через поставщика данных SQL.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/ics-ot-security/critical-windows-kerberos-bug-microsoft-security-bypass