Microsoft ระบุช่องโหว่ด้านความปลอดภัยที่สำคัญ XNUMX รายการในการอัปเดต Patch Tuesday เดือนกันยายน พร้อมด้วย Zero-Days ที่ได้รับการจัดอันดับ "สำคัญ" อีก XNUMX รายการภายใต้การโจมตีแบบแอคทีฟในป่า
โดยรวมแล้ว Microsoft ได้เปิดตัวแพตช์ใหม่ 59 รายการเพื่อแก้ไขข้อบกพร่องในกลุ่มผลิตภัณฑ์: ส่งผลกระทบต่อ Microsoft Windows, Exchange Server, Office, .NET และ Visual Studio, Azure, Microsoft Dynamics และ Windows Defender
การอัปเดตนี้ยังรวมเอาปัญหาของบุคคลที่สามจำนวนหนึ่ง ซึ่งรวมถึง ข้อบกพร่องซีโรเดย์ Chromium ที่สำคัญและถูกเอาเปรียบอย่างแข็งขัน ที่ส่งผลต่อ Microsoft Edge สำหรับประเด็นภายนอก จำนวน CVE ทั้งหมด 65 รายการ
แม้จะมีการแก้ไขต่างๆ มากมาย นักวิจัยตั้งข้อสังเกตว่าการจัดลำดับความสำคัญของแพตช์นั้นค่อนข้างตรงไปตรงมาในเดือนนี้ โดยมีจุดบกพร่องร้ายแรงและปัญหาใน Microsoft Exchange Server และการใช้งาน Windows ของโปรโตคอล TCP/IP จำเป็นต้องมุ่งหน้าสู่ด้านหน้า สายสำหรับองค์กรส่วนใหญ่
Microsoft Zero-Days ภายใต้การใช้ประโยชน์ที่ใช้งานอยู่
ในขณะที่ CVE สองรายการถูกระบุว่าถูกใช้โดยผู้คุกคามในป่าก่อนที่จะทำการแพตช์ มีเพียงรายการเดียวเท่านั้นที่ระบุว่าเป็นที่รู้จักต่อสาธารณะ ทั้งสองรายการควรอยู่ในอันดับต้นๆ ของรายการสำหรับการแพตช์ ด้วยเหตุผลที่ชัดเจน
พบข้อบกพร่องสาธารณะใน Microsoft Word (CVE-2023-36761, ซีวีเอสเอส 6.2); จัดอยู่ในประเภท "การเปิดเผยข้อมูล" แต่ Dustin Childs นักวิจัยจาก Zero Day Initiative (ZDI) ของ Trend Micro ตั้งข้อสังเกตว่าสิ่งนี้ขัดแย้งกับแรงโน้มถ่วงของมัน
“ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อให้สามารถเปิดเผยแฮชของ NTLM ซึ่งน่าจะนำไปใช้ใน การโจมตีสไตล์ NTLM-relay” เขาอธิบายในวันอังคาร โพสต์ในการเปิดตัวแพทช์เดือนกันยายนของ Microsoft. “โดยไม่คำนึงถึงการจัดหมวดหมู่ หน้าต่างแสดงตัวอย่างก็เป็นเวกเตอร์เช่นกัน ซึ่งหมายความว่าผู้ใช้ไม่จำเป็นต้องมีการโต้ตอบใดๆ ใส่สิ่งนี้ไว้ที่ด้านบนของรายการทดสอบและปรับใช้ของคุณอย่างแน่นอน”
Zero-day อีกอันมีอยู่ในระบบปฏิบัติการ Windows (CVE-2023-36802, CVSS 7.8) โดยเฉพาะในพร็อกซีบริการสตรีมมิ่งของ Microsoft Stream (เดิมชื่อ Office 365 Video) เพื่อการใช้ประโยชน์ที่ประสบความสำเร็จ ผู้โจมตีจะต้องเรียกใช้โปรแกรมที่สร้างขึ้นเป็นพิเศษ ที่จะอนุญาตให้ผู้ดูแลระบบหรือสิทธิ์ของระบบเพิ่มระดับสิทธิ์ ตามคำแนะนำ
“นี่เป็นระดับที่แปดของช่องโหว่สิทธิพิเศษแบบ Zero-day ที่ถูกใช้ประโยชน์ในป่าในปี 2023” Satnam Narang วิศวกรวิจัยอาวุโสของ Tenable บอกกับ Dark Reading “เพราะผู้โจมตีมี ช่องทางการละเมิดองค์กรมากมายเพียงการเข้าถึงระบบอาจไม่เพียงพอเสมอไป ซึ่งเป็นจุดที่ข้อบกพร่องด้านสิทธิพิเศษกลายเป็นสิ่งที่มีคุณค่ามากขึ้น โดยเฉพาะอย่างยิ่งวันที่เป็นศูนย์”
กันยายน 2023 ช่องโหว่ที่สำคัญ
เมื่อพูดถึงข้อบกพร่องร้ายแรง สิ่งหนึ่งที่น่ากังวลมากขึ้นก็คือ CVE-2023-29332พบได้ในบริการ Azure Kubernetes ของ Microsoft มันอาจทำให้ผู้โจมตีระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเข้ามาได้ Kubernetes คลัสเตอร์ สิทธิ์การบริหาร
“สิ่งนี้โดดเด่นเนื่องจากสามารถเข้าถึงได้จากอินเทอร์เน็ต ไม่ต้องมีการโต้ตอบกับผู้ใช้ และถูกระบุว่ามีความซับซ้อนต่ำ” Childs เตือนในโพสต์ของเขา “จากระยะไกลและไม่ได้รับการรับรองความถูกต้องของข้อบกพร่องนี้ สิ่งนี้สามารถพิสูจน์ได้ว่าค่อนข้างดึงดูดผู้โจมตี”
แพตช์ที่ได้รับการจัดอันดับวิกฤตสามรายการคือปัญหา RCE ที่ส่งผลต่อ Visual Studio (CVE-2023-36792, CVE-2023-36793และ CVE-2023-36796ทั้งหมดมีคะแนน CVSS 7.8) ทั้งหมดนี้อาจนำไปสู่การใช้รหัสโดยอำเภอใจเมื่อเปิดไฟล์แพ็คเกจที่เป็นอันตรายด้วยซอฟต์แวร์เวอร์ชันที่ได้รับผลกระทบ
“เมื่อพิจารณาจาก Visual Studio แล้ว การใช้งานอย่างแพร่หลายในหมู่นักพัฒนาผลกระทบของช่องโหว่ดังกล่าวอาจส่งผลกระทบแบบโดมิโน ซึ่งแพร่กระจายอันตรายไปไกลเกินกว่าระบบที่ถูกบุกรุกตั้งแต่แรก” Tom Bowyer ผู้จัดการฝ่ายความปลอดภัยของผลิตภัณฑ์ของ Automox กล่าวในการโพสต์. “ในกรณีที่เลวร้ายที่สุด นี่อาจหมายถึงการโจรกรรมหรือความเสียหายของซอร์สโค้ดที่เป็นกรรมสิทธิ์ การนำแบ็คดอร์มาใช้ หรือการปลอมแปลงที่เป็นอันตรายซึ่งอาจทำให้แอปพลิเคชันของคุณกลายเป็น Launchpad สำหรับการโจมตีผู้อื่น”
ปัญหาสำคัญสุดท้ายคือ CVE-2023-38148 (CVSS 8.8 ซึ่งเป็นเวอร์ชันที่รุนแรงที่สุดที่ Microsoft แพตช์ในเดือนนี้) ซึ่งอนุญาตให้มีการเรียกใช้โค้ดจากระยะไกลโดยไม่ผ่านการตรวจสอบสิทธิ์ผ่านฟังก์ชัน Internet Connection Sharing (ICS) ใน Windows ความเสี่ยงจะลดลงเนื่องจากผู้โจมตีจะต้องอยู่ติดกับเครือข่าย นอกจากนี้ องค์กรส่วนใหญ่ไม่ใช้ ICS อีกต่อไป อย่างไรก็ตามผู้ที่ยังใช้งานอยู่ควรทำการแพทช์ทันที
“หากผู้โจมตีใช้ประโยชน์จากช่องโหว่นี้ได้สำเร็จ ก็อาจสูญเสียการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานไปโดยสิ้นเชิง” Natalie Silva หัวหน้าวิศวกรความปลอดภัยทางไซเบอร์ของ Immersive Labs กล่าว “ผู้โจมตีที่ไม่ได้รับอนุญาตสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการส่งแพ็กเก็ตเครือข่ายที่สร้างขึ้นเป็นพิเศษไปยังบริการ สิ่งนี้อาจนำไปสู่การรันโค้ดโดยอำเภอใจ ซึ่งอาจส่งผลให้เกิดการเข้าถึงโดยไม่ได้รับอนุญาต การจัดการข้อมูล หรือการหยุดชะงักของบริการ”
Microsoft Patch อื่น ๆ ที่จะจัดลำดับความสำคัญ
สิ่งที่รวมอยู่ในการอัปเดตเดือนกันยายนคือชุดข้อบกพร่องของ Microsoft Exchange Server ที่ถือว่า "มีแนวโน้มที่จะถูกเอารัดเอาเปรียบ"
สามประเด็น (CVE-2023-36744, CVE-2023-36745และ CVE-2023-36756ทั้งหมดที่มีคะแนน CVSS 8.0) ส่งผลต่อเวอร์ชัน 2016-2019 และอนุญาตให้มีการโจมตี RCE ต่อบริการ
“แม้ว่าการโจมตีเหล่านี้จะไม่ส่งผลให้เกิด RCE บนเซิร์ฟเวอร์ แต่ก็อาจทำให้ผู้โจมตีที่อยู่ติดเครือข่ายซึ่งมีข้อมูลประจำตัวที่ถูกต้องสามารถแก้ไขข้อมูลผู้ใช้หรือล้วงเอาแฮช Net-NTLMv2 สำหรับบัญชีผู้ใช้เป้าหมาย ซึ่งสามารถถอดรหัสเพื่อกู้คืนได้ รหัสผ่านผู้ใช้หรือส่งต่อภายในเครือข่ายเพื่อโจมตีบริการอื่น” Robert Reeves วิศวกรความปลอดภัยทางไซเบอร์หลักของ Immersive กล่าว
เขากล่าวเสริมว่า “หากผู้ใช้ที่มีสิทธิ์ — ผู้ที่มี Domain Admin หรือสิทธิ์ที่คล้ายกันภายในเครือข่าย — มีกล่องจดหมายที่สร้างขึ้นบน Exchange ซึ่งขัดกับคำแนะนำด้านความปลอดภัยของ Microsoft การโจมตีแบบส่งต่ออาจส่งผลกระทบอย่างมีนัยสำคัญ”
และสุดท้าย นักวิจัยที่ Automox ได้ตั้งค่าสถานะช่องโหว่การปฏิเสธการให้บริการ (DoS) ใน Windows TCP/IP (CVE-2023-38149, CVSS 7.5) ให้เป็นหนึ่งเดียวในการจัดลำดับความสำคัญ
ข้อบกพร่องนี้ส่งผลกระทบต่อระบบเครือข่ายใดๆ และ “อนุญาตให้ผู้โจมตีผ่านเวกเตอร์เครือข่ายรบกวนบริการโดยไม่ต้องมีการตรวจสอบผู้ใช้หรือมีความซับซ้อนสูง” Jason Kikta CISO ของ Automox กล่าวใน รายละเอียดของ Patch Tuesday. “ช่องโหว่นี้แสดงถึงภัยคุกคามที่สำคัญ…ต่อภูมิทัศน์ทางดิจิทัล จุดอ่อนเหล่านี้สามารถนำไปใช้ในการโอเวอร์โหลดเซิร์ฟเวอร์ ขัดขวางการทำงานปกติของเครือข่ายและบริการ และทำให้ผู้ใช้ใช้งานไม่ได้”
ทั้งหมดที่กล่าวมา ระบบที่ปิดใช้งาน IPv6 จะไม่ได้รับผลกระทบ
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ChartPrime. ยกระดับเกมการซื้อขายของคุณด้วย ChartPrime เข้าถึงได้ที่นี่.
- BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/application-security/microsoft-patches-pair-of-actively-exploited-zero-days
- :เป็น
- :ไม่
- :ที่ไหน
- 2023
- 65
- 7
- 8
- a
- เข้า
- ตาม
- ลงชื่อเข้าใช้
- ข้าม
- คล่องแคล่ว
- อย่างกระตือรือร้น
- นักแสดง
- จ่าหน้า
- ที่อยู่
- เพิ่ม
- ผู้ดูแลระบบ
- การบริหาร
- คำแนะนำ
- ที่ปรึกษา
- มีผลต่อ
- กับ
- ทั้งหมด
- อนุญาต
- ช่วยให้
- ตาม
- ด้วย
- เสมอ
- ในหมู่
- an
- และ
- อื่น
- ใด
- การใช้งาน
- เป็น
- AS
- แง่มุม
- At
- โจมตี
- การโจมตี
- การยืนยันตัวตน
- ความพร้อมใช้งาน
- สีฟ้า
- แบ็ค
- ตาม
- BE
- เพราะ
- กลายเป็น
- กำลัง
- เกิน
- ทั้งสอง
- ความกว้าง
- รายละเอียด
- Bug
- เป็นโรคจิต
- แต่
- by
- CAN
- การก่อให้เกิด
- โครเมียม
- CISO
- การจัดหมวดหมู่
- จัด
- รหัส
- มา
- ความซับซ้อน
- ที่ถูกบุกรุก
- เกี่ยวกับ
- ความลับ
- การเชื่อมต่อ
- ผลที่ตามมา
- ตรงกันข้าม
- คอรัปชั่น
- ได้
- แตกระแหง
- ที่สร้างขึ้น
- ที่สร้างขึ้น
- หนังสือรับรอง
- วิกฤติ
- cybersecurity
- มืด
- การอ่านที่มืด
- ข้อมูล
- วัน
- ถือว่า
- อย่างแน่นอน
- ดิจิตอล
- พิการ
- การเปิดเผย
- ทำลาย
- การหยุดชะงัก
- โดเมน
- DOS
- พลศาสตร์
- ขอบ
- ผล
- ที่แปด
- ทั้ง
- วิศวกร
- พอ
- การเพิ่ม
- โดยเฉพาะอย่างยิ่ง
- อีเธอร์ (ETH)
- ตลาดแลกเปลี่ยน
- การปฏิบัติ
- ที่มีอยู่
- อธิบาย
- เอาเปรียบ
- การแสวงหาผลประโยชน์
- ใช้ประโยชน์
- ภายนอก
- ความจริง
- อย่างเป็นธรรม
- เนื้อไม่มีมัน
- สุดท้าย
- ในที่สุด
- ห้า
- ถูกตั้งค่าสถานะ
- ข้อบกพร่อง
- สำหรับ
- สมัยก่อน
- พบ
- ราคาเริ่มต้นที่
- ด้านหน้า
- ฟังก์ชัน
- การทำงาน
- ต่อไป
- ได้รับ
- ได้รับ
- กำหนด
- แรงดึงดูด
- กำมือ
- อันตราย
- กัญชา
- มี
- he
- หัว
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- จุดสูง
- ของเขา
- อย่างไรก็ตาม
- HTTPS
- ICS
- if
- ทันที
- ดื่มด่ำ
- ส่งผลกระทบ
- การดำเนินงาน
- สำคัญ
- in
- รวม
- รวมทั้ง
- รวม
- ข้อมูล
- ในขั้นต้น
- Initiative
- ความสมบูรณ์
- ปฏิสัมพันธ์
- ภายใน
- อินเทอร์เน็ต
- การเชื่อมต่ออินเทอร์เน็ต
- เข้าไป
- บทนำ
- ปัญหา
- ปัญหา
- IT
- ITS
- ตัวเอง
- jpg
- ที่รู้จักกัน
- Kubernetes
- ห้องปฏิบัติการ
- ภูมิประเทศ
- Launchpad
- นำ
- น่าจะ
- Line
- รายการ
- จดทะเบียน
- อีกต่อไป
- ปิด
- ต่ำ
- ผู้จัดการ
- การจัดการ
- อาจ..
- หมายความ
- วิธี
- ไมโคร
- ไมโครซอฟท์
- Microsoft Edge
- Microsoft Windows
- Microsoft Word
- เดือน
- ข้อมูลเพิ่มเติม
- มากที่สุด
- มาก
- จำเป็นต้อง
- ต้อง
- สุทธิ
- เครือข่าย
- เครือข่าย
- เครือข่ายและบริการ
- ใหม่
- ไม่
- ไม่มี
- ปกติ
- เด่น
- จำนวน
- ชัดเจน
- of
- Office
- สำนักงาน 365
- on
- ONE
- เพียง
- การเปิด
- การดำเนินงาน
- ระบบปฏิบัติการ
- or
- องค์กร
- อื่นๆ
- ผลิตภัณฑ์อื่นๆ
- ออก
- แพ็คเกจ
- คู่
- บานหน้าต่าง
- รหัสผ่าน
- ปะ
- แพทช์อังคาร
- แพทช์
- ปะ
- สิทธิ์
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- โพสต์
- ที่อาจเกิดขึ้น
- ดูตัวอย่าง
- หลัก
- ก่อน
- จัดลำดับความสำคัญ
- จัดลำดับความสำคัญ
- สิทธิพิเศษ
- ได้รับการยกเว้น
- สิทธิ์
- ปัญหาที่เกิดขึ้น
- ผลิตภัณฑ์
- โครงการ
- เป็นเจ้าของ
- โปรโตคอล
- พิสูจน์
- หนังสือมอบฉันทะ
- สาธารณะ
- สาธารณชน
- ใส่
- อันดับ
- ถึง
- การอ่าน
- เหตุผล
- กู้
- ไม่คำนึงถึง
- ถ่ายทอด
- การเผยแพร่
- รีโมท
- แสดงให้เห็นถึง
- จำเป็นต้องใช้
- ต้อง
- การวิจัย
- นักวิจัย
- นักวิจัย
- ผล
- ส่งผลให้
- ความเสี่ยง
- โรเบิร์ต
- วิ่ง
- s
- กล่าวว่า
- พูดว่า
- สถานการณ์
- คะแนน
- ความปลอดภัย
- การส่ง
- ระดับอาวุโส
- กันยายน
- บริการ
- บริการ
- ชุด
- รุนแรง
- ใช้งานร่วมกัน
- น่า
- สำคัญ
- ซิลวา
- คล้ายคลึงกัน
- ง่ายดาย
- ซอฟต์แวร์
- แหล่ง
- รหัสแหล่งที่มา
- พิเศษ
- เฉพาะ
- การแพร่กระจาย
- ทักษะ
- ยืน
- ยังคง
- ซื่อตรง
- กระแส
- ที่พริ้ว
- สตรีมมิ่งบริการ
- สตูดิโอ
- สไตล์
- ที่ประสบความสำเร็จ
- ประสบความสำเร็จ
- อย่างเช่น
- ระบบ
- ระบบ
- เป้าหมาย
- ทีซีพี/ไอพี
- บอก
- ที่
- พื้นที่
- การโจรกรรม
- พวกเขา
- แล้วก็
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- ของบุคคลที่สาม
- นี้
- เหล่านั้น
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ไปยัง
- ทอม
- ด้านบน
- รวม
- เทรนด์
- เทรนด์ไมโคร
- ไตรยางศ์
- อังคาร
- กลับ
- สอง
- ภายใต้
- บันทึก
- การใช้
- ใช้
- มือสอง
- ผู้ใช้งาน
- ผู้ใช้
- การใช้
- มีคุณค่า
- รุ่น
- ผ่านทาง
- วีดีโอ
- ช่องโหว่
- ความอ่อนแอ
- วิธี
- ดี
- เมื่อ
- ที่
- ในขณะที่
- ป่า
- หน้าต่าง
- กับ
- ภายใน
- ไม่มี
- คำ
- จะ
- ของคุณ
- ลมทะเล
- เป็นศูนย์
- ศูนย์วัน