Patcha nu: Kritisk Windows Kerberos-bugg förbigår Microsofts säkerhet

Patcha nu: Kritisk Windows Kerberos-bugg förbigår Microsofts säkerhet

Tidsstämpel: 9 januari 2024 6:00
Källnod: 3052688

Microsoft förenklade företagssäkerhetsteam till 2024 med en relativt lätt säkerhetsuppdatering för januari som består av patchar för 48 unika CVE:er, varav bara två av företaget identifierade vara av kritisk svårighetsgrad.

För andra raka månaden innehöll Microsofts Patch Tuesday inga nolldagarsbuggar, vilket innebär att administratörer inte kommer behöva brottas med några nya sårbarheter som angripare aktivt utnyttjar för tillfället – något som hände ofta under 2023.

Bara två kritiska fel

Som vanligtvis är fallet, CVEs som Microsoft avslöjade 9 januari påverkade ett brett spektrum av dess produkter och inkluderade sårbarheter med eskalering av rättigheter, fel vid exekvering av fjärrkod, buggar för förbikoppling av säkerhet och andra sårbarheter. Företaget klassificerade 46 av bristerna som av betydande svårighetsgrad, inklusive flera som angripare var mer benägna än inte att utnyttja.

En av två kritiska fel i Microsofts senaste uppdatering är CVE-2024-20674, en Windows Kerberos säkerhetsfunktion kringgår sårbarhet som gör att angripare kan kringgå autentiseringsmekanismer och starta identitetsattacker. "Angripare kan utnyttja denna brist via en maskin-i-mitten-attack (MitM)", säger Saeed Abbasi, chef för sårbarhetsforskning på Qualys i kommentarer till Dark Reading. "De uppnår detta genom att sätta upp ett lokalt nätverksspoofingsscenario och sedan skicka skadliga Kerberos-meddelanden för att lura en klientdator att tro att de kommunicerar med en legitim Kerberos-autentiseringsserver."

Sårbarheten kräver att angriparen har tillgång till samma lokala nätverk som målet. Det är inte fjärrexploatabelt över Internet och kräver närhet till det interna nätverket. Trots det finns det en stor sannolikhet för aktiva exploateringsförsök inom en snar framtid, säger Abbasi.

Ken Breen, senior chef för hotforskning vid Immersive Labs, identifierade CVE-2024-20674 som en bugg som organisationer skulle göra klokt i att korrigera snabbt. "Den här typen av attackvektorer är alltid värdefulla för hotaktörer som ransomware-operatörer och åtkomstmäklare", eftersom de möjliggör betydande åtkomst till företagsnätverk, enligt ett uttalande från Breen.

Den andra kritiska sårbarheten i Microsofts senaste serie säkerhetsuppdateringar är CVE-2024-20700, en sårbarhet för fjärrkörning av kod i Windows Hyper-Virtualization-teknik. Sårbarheten är inte särskilt lätt att utnyttja eftersom en angripare för att göra det redan först måste vara inne i nätverket och intill en sårbar dator, enligt ett uttalande från Ben McCarthy, ledande cybersäkerhetsingenjör på Immersive Labs.

Sårbarheten involverar också ett rastillstånd - en typ av problem som är svårare för en angripare att utnyttja än många andra sårbarhetstyper. "Denna sårbarhet har släppts som exploatering mindre sannolikt men eftersom Hyper-V körs som de högsta privilegierna i en dator, är det värt att tänka på att patcha," sa McCarthy.

Högprioriterade fel vid exekvering av fjärrkod

Säkerhetsforskare pekade på två andra RCE-buggar i januariuppdateringen som förtjänar prioriterad uppmärksamhet: CVE-2024-21307 i Windows Remote Desktop Client och CVE-2024-21318 i SharePoint Server.

Microsoft identifierade CVE-2024-21307 som en sårbarhet som angripare är mer benägna att utnyttja men har lämnat lite information om varför, enligt Breen. Företaget har noterat att obehöriga angripare måste vänta på att en användare ska initiera en anslutning för att kunna utnyttja sårbarheten.  

"Detta innebär att angriparna måste skapa en skadlig RDP-server och använda sociala ingenjörstekniker för att lura en användare att ansluta," sa Breen. "Detta är inte så svårt som det låter, eftersom skadliga RDP-servrar är relativt lätta för angripare att konfigurera och sedan skicka .rdp-bilagor i e-postmeddelanden innebär att en användare bara behöver öppna bilagan för att utlösa exploateringen."

Några fler exploateringsbara privilegieupptrappningsbuggar

Microsofts januariuppdatering inkluderade patchar för flera sårbarheter med eskalering av rättigheter. Bland de svåraste av dem är för CVE-2023-21310, ett privilegieupptrappningsfel i Windows Cloud Files Mini Filter Driver. Felet är mycket likt CVE-2023-36036, en sårbarhet för eskalering av privilegier med noll dagar i samma teknik, som Microsoft avslöjade i sin Säkerhetsuppdatering november 2023.

Angripare utnyttjade aktivt den bristen för att försöka få systemnivåprivilegier på lokala maskiner – något de också kan göra med den nyligen avslöjade sårbarheten. "Denna typ av privilegieupptrappningssteg ses ofta av hotaktörer i nätverkskompromisser," sa Breen. "Det kan göra det möjligt för angriparen att inaktivera säkerhetsverktyg eller köra dumpningsverktyg för autentiseringsuppgifter som Mimikatz som sedan kan möjliggöra sidoförflyttning eller kompromiss med domänkonton."

Några av de andra viktiga privilegieupptrappningsbuggarna inkluderade CVE-2024-20653 i Windows Common Log File System, CVE-2024-20698 i Windows Kernel, CVE-2024-20683 i Win32k, och CVE-2024-20686 i Win32k. Microsoft har bedömt alla dessa brister som problem som angripare är mer benägna att utnyttja, enligt ett uttalande från Satnam Narang, senior forskningsingenjör på Tenable. "Dessa buggar används ofta som en del av aktivitet efter kompromiss," sa han. "Det vill säga när angripare har fått ett första fotfäste på systemen."

Bland de brister som Microsoft rankade som viktiga, men som kräver snabb uppmärksamhet, är CVE-2024-0056, en säkerhetsbypass-funktion i SQL, säger Abbasi. Felet gör det möjligt för en angripare att utföra en maskin-i-mitt-attack, avlyssna och potentiellt ändra TLS-trafik mellan en klient och server, noterar han. "Om den utnyttjas kan en angripare dekryptera, läsa eller ändra säker TLS-trafik, vilket bryter mot konfidentialitet och integritet för data." Abbasi säger att en angripare också kan utnyttja felet för att utnyttja SQL Server via SQL Data Provider.

Tidsstämpel:

Mer från Mörk läsning