Microsoft je v svoji torkovi posodobitvi septembrskega popravka obravnaval pet kritičnih varnostnih ranljivosti, skupaj z dvema »pomembnima« ničelnima dnevoma pod aktivnim napadom v naravi.
Skupno je Microsoft izdal 59 novih popravkov, ki obravnavajo napake v celotnem obsegu izdelkov: vplivajo na Microsoft Windows, Exchange Server, Office, .NET in Visual Studio, Azure, Microsoft Dynamics in Windows Defender.
Posodobitev vključuje tudi nekaj težav tretjih oseb, vključno z aktivno izkoriščen, kritičen Chromium zero-day bug ki vpliva na Microsoft Edge. Z zunanjimi težavami je skupno število CVE 65.
Kljub obsežnosti popravkov so raziskovalci opazili, da je določanje prednosti popravkov ta mesec dokaj enostavno, pri čemer je treba ničelne dni, kritične hrošče in težave v strežniku Microsoft Exchange Server in implementacijo protokola TCP/IP v sistemu Windows usmeriti v ospredje linija za večino organizacij.
Microsoft Zero-Days pod aktivnim izkoriščanjem
Medtem ko sta dva od CVE-jev navedena kot uporabljena s strani akterjev groženj v divjini pred popravkom, je le eden naveden kot javno znan. Oba bi morala biti iz očitnih razlogov na vrhu seznama za popravke.
Javna napaka je najdena v programu Microsoft Word (CVE-2023-36761, CVSS 6.2); uvrščeno je med vprašanje »razkritja informacij«, vendar je Dustin Childs, raziskovalec pri Trend Micro's Zero Day Initiative (ZDI), ugotovil, da to nasprotuje njeni resnosti.
»Napadalec bi lahko uporabil to ranljivost, da bi omogočil razkritje zgoščenih vrednosti NTLM, ki bi jih nato verjetno uporabili v Napad v slogu releja NTLM,« je pojasnil v torek objava ob Microsoftovi septembrski izdaji popravka. »Ne glede na klasifikacijo je podokno za predogled tudi tukaj vektor, kar pomeni, da interakcija uporabnika ni potrebna. Vsekakor ga postavite na vrh svojega seznama za testiranje in uvajanje.«
Drugi ničelni dan obstaja v operacijskem sistemu Windows (CVE-2023-36802, CVSS 7.8), zlasti v proxyju storitve pretakanja Microsoft Stream (prej znan kot Office 365 Video). Za uspešno izkoriščanje bi moral napadalec zagnati posebej izdelan program, ki bi omogočil eskalacijo privilegijev na skrbniške ali sistemske privilegije, glede na svetovanje.
»Gre za osmo povišanje privilegije ranljivost ničelnega dne, izkoriščeno v divjini leta 2023,« je za Dark Reading povedal Satnam Narang, višji raziskovalni inženir pri Tenable. »Ker imajo napadalci a nešteto načinov za vdor v organizacije, preprosto pridobivanje dostopa do sistema morda ne bo vedno dovolj, zato postanejo napake pri povišanju privilegijev toliko bolj dragocene, zlasti pri ničelnih dneh.«
September 2023 Kritične ranljivosti
Ko gre za kritične napake, je ena bolj zaskrbljujoča CVE-2023-29332, ki ga najdete v Microsoftovi storitvi Azure Kubernetes. Lahko bi omogočil oddaljenemu, nepreverjenemu napadalcu pridobitev Grozd Kubernetes skrbniške pravice.
"Ta izstopa, saj je dostopen prek interneta, ne zahteva interakcije uporabnika in je naveden kot nizka zapletenost," je opozoril Childs v svoji objavi. "Na podlagi oddaljenega, nepreverjenega vidika tega hrošča bi se to lahko izkazalo za precej mamljivo za napadalce."
Trije od kritično ocenjenih popravkov so težave RCE, ki vplivajo na Visual Studio (CVE-2023-36792, CVE-2023-36793in CVE-2023-36796, vsi z oceno CVSS 7.8). Vsi ti lahko povzročijo poljubno izvajanje kode pri odpiranju zlonamerne paketne datoteke s prizadeto različico programske opreme.
»Glede na Visual Studio široko uporabo med razvijalci, bi lahko imel vpliv takšnih ranljivosti učinek domin in razširil škodo daleč preko prvotno ogroženega sistema,« Tom Bowyer, vodja Automoxa za varnost izdelkov, je dejal v postu. "V najslabšem primeru bi to lahko pomenilo krajo ali poškodovanje lastniške izvorne kode, uvedbo zakulisnih vrat ali zlonamerne posege, ki bi vašo aplikacijo lahko spremenili v lansirno ploščo za napade na druge."
Končno kritično vprašanje je CVE-2023-38148 (CVSS 8.8, najhujši, ki ga je Microsoft popravil ta mesec), ki omogoča nepreverjeno oddaljeno izvajanje kode prek funkcije skupne rabe internetne povezave (ICS) v sistemu Windows. Njegovo tveganje je zmanjšano z dejstvom, da bi moral biti napadalec v bližini omrežja; Poleg tega večina organizacij ne uporablja več ICS. Vendar pa bi morali tisti, ki ga še vedno uporabljajo, takoj popraviti.
»Če napadalci uspešno izkoristijo to ranljivost, lahko pride do popolne izgube zaupnosti, celovitosti in razpoložljivosti,« pravi Natalie Silva, vodilni inženir za kibernetsko varnost pri Immersive Labs. »Nepooblaščeni napadalec bi lahko izkoristil to ranljivost tako, da bi storitvi poslal posebej oblikovan omrežni paket. To bi lahko vodilo do izvajanja poljubne kode, kar bi lahko povzročilo nepooblaščen dostop, manipulacijo podatkov ali motnje storitev.«
Drugi Microsoftovi popravki, ki jim je treba dati prednost
V septembrsko posodobitev je vključen tudi nabor napak v strežniku Microsoft Exchange Server, za katere velja, da je »verjetneje, da jih bodo izkoristili«.
Trojica vprašanj (CVE-2023-36744, CVE-2023-36745in CVE-2023-36756, vsi z oceno CVSS 8.0) vplivajo na različice 2016–2019 in omogočajo napade RCE na storitev.
»Čeprav nobeden od teh napadov ne povzroči RCE na samem strežniku, bi lahko napadalcu, ki meji na omrežje, z veljavnimi poverilnicami omogočil, da spremeni uporabniške podatke ali izvabi zgoščeno vrednost Net-NTLMv2 za ciljni uporabniški račun, ki bi ga nato lahko vdrli in obnovili uporabniško geslo ali posredovano interno v omrežju za napad na drugo storitev,« pravi Robert Reeves, glavni inženir za kibernetsko varnost pri Immersive.
Dodal je: "Če imajo privilegirani uporabniki - tisti s skrbniškimi pravicami domene ali podobnimi dovoljenji v omrežju - nabiralnik, ustvarjen na Exchangeu, bi lahko imel tak relejni napad pomembne posledice."
In končno, raziskovalci pri Automoxu so označili ranljivost zavrnitve storitve (DoS) v sistemu Windows TCP/IP (CVE-2023-38149, CVSS 7.5) kot enega, ki mu je treba dati prednost.
Napaka prizadene kateri koli omrežni sistem in "omogoča napadalcu prek omrežnega vektorja, da prekine storitev brez kakršnega koli preverjanja pristnosti uporabnika ali visoke kompleksnosti," je povedal Automox CISO Jason Kikta, v razčlenitev Patch Tuesday. »Ta ranljivost predstavlja veliko grožnjo … digitalnemu okolju. Te slabosti je mogoče izkoristiti za preobremenitev strežnikov, motenje normalnega delovanja omrežij in storitev ter povzročitev, da postanejo nedostopni uporabnikom.«
Vse to ne vpliva na sisteme z onemogočenim IPv6.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Avtomobili/EV, Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- ChartPrime. Izboljšajte svojo igro trgovanja s ChartPrime. Dostopite tukaj.
- BlockOffsets. Posodobitev okoljskega offset lastništva. Dostopite tukaj.
- vir: https://www.darkreading.com/application-security/microsoft-patches-pair-of-actively-exploited-zero-days
- : je
- :ne
- :kje
- 2023
- 65
- 7
- 8
- a
- dostop
- Po
- Račun
- čez
- aktivna
- aktivno
- akterji
- naslovljena
- naslavljanje
- Dodaja
- admin
- uprava
- nasveti
- svetovanje
- vplivajo
- proti
- vsi
- omogočajo
- omogoča
- skupaj
- Prav tako
- vedno
- med
- an
- in
- Še ena
- kaj
- uporaba
- SE
- AS
- vidik
- At
- napad
- Napadi
- Preverjanje pristnosti
- razpoložljivost
- Azure
- Skrite
- temeljijo
- BE
- ker
- postanejo
- počutje
- Poleg
- tako
- širina
- Razčlenitev
- Bug
- hrošči
- vendar
- by
- CAN
- povzroča
- krom
- CISO
- Razvrstitev
- razvrščeni
- Koda
- prihaja
- kompleksnost
- Ogroženo
- v zvezi
- zaupnost
- povezava
- Posledice
- nasprotno
- Korupcija
- bi
- razpokan
- izdelana
- ustvaril
- Mandatno
- kritično
- Cybersecurity
- Temnomodra
- Temno branje
- datum
- dan
- šteje
- vsekakor
- digitalni
- onemogočena
- razkritje
- Moti
- Motnje
- domena
- DOS
- dinamika
- Edge
- učinek
- Osmi
- bodisi
- inženir
- dovolj
- Stopnjevanje
- zlasti
- Eter (ETH)
- Izmenjava
- izvedba
- obstaja
- razložiti
- Izkoristite
- izkoriščanje
- Exploited
- zunanja
- Dejstvo
- pošteno
- file
- končna
- končno
- pet
- označeno
- napake
- za
- prej
- je pokazala,
- iz
- spredaj
- funkcija
- delovanje
- nadalje
- Gain
- pridobivanje
- dana
- teža
- peščica
- škodovalo
- hash
- Imajo
- he
- Glava
- tukaj
- visoka
- njegov
- Vendar
- HTTPS
- ICS
- if
- takoj
- poglobljeno
- vpliv
- Izvajanje
- Pomembno
- in
- vključeno
- Vključno
- vključuje
- Podatki
- na začetku
- pobuda
- celovitost
- interakcije
- interno
- Internet
- internetna povezava
- v
- Predstavitev
- vprašanje
- Vprašanja
- IT
- ITS
- sam
- jpg
- znano
- Kubernetes
- Labs
- Pokrajina
- Launchpad
- vodi
- Verjeten
- vrstica
- Seznam
- Navedeno
- več
- off
- nizka
- upravitelj
- Manipulacija
- Maj ..
- pomeni
- pomeni
- mikro
- Microsoft
- Microsoft Edge
- Microsoft Windows
- Microsoft Word
- mesec
- več
- Najbolj
- veliko
- Nimate
- potrebujejo
- net
- mreža
- omrežij
- omrežja in storitve
- Novo
- št
- Noben
- normalno
- opozoriti
- Številka
- Očitna
- of
- Office
- Urad 365
- on
- ONE
- samo
- o odprtju
- deluje
- operacijski sistem
- or
- organizacije
- Ostalo
- drugi
- ven
- paket
- par
- podokno
- Geslo
- Patch
- obliž torek
- Obliži
- Zaplata
- Dovoljenja
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Prispevek
- potencialno
- predogled
- , ravnateljica
- Predhodna
- določanje prednosti
- Prednost
- privilegij
- privilegiran
- privilegiji
- Težave
- Izdelek
- Program
- lastniško
- protokol
- Dokaži
- proxy
- javnega
- javno
- dal
- ocena
- dosegel
- reading
- Razlogi
- Obnovi
- Ne glede na to
- rele
- sprosti
- daljinsko
- predstavlja
- obvezna
- zahteva
- Raziskave
- raziskovalec
- raziskovalci
- povzroči
- rezultat
- Tveganje
- ROBERT
- Run
- s
- Je dejal
- pravi
- Scenarij
- rezultat
- varnost
- pošiljanja
- višji
- september
- Storitev
- Storitve
- nastavite
- huda
- delitev
- shouldnt
- pomemben
- silva
- Podoben
- preprosto
- Software
- vir
- Izvorna koda
- posebej
- posebej
- širjenje
- Osebje
- stojala
- Še vedno
- naravnost
- tok
- pretakanje
- storitev pretakanja
- studio
- slog
- uspešno
- Uspešno
- taka
- sistem
- sistemi
- ciljno
- TCP/ip
- pove
- da
- O
- Kraja
- Njih
- POTEM
- Tukaj.
- te
- jih
- tretjih oseb
- ta
- tisti,
- Grožnja
- akterji groženj
- do
- tom
- vrh
- Skupaj za plačilo
- Trend
- Trend Micro
- Trio
- Torek
- OBRAT
- dva
- pod
- Nadgradnja
- Uporaba
- uporaba
- Rabljeni
- uporabnik
- Uporabniki
- uporabo
- dragocene
- različica
- preko
- Video
- Ranljivosti
- ranljivost
- načini
- Dobro
- kdaj
- ki
- medtem
- Wild
- okna
- z
- v
- brez
- beseda
- bi
- Vaša rutina za
- zefirnet
- nič
- Zero dan