Patch Now: ข้อผิดพลาด Windows Kerberos ที่สำคัญข้ามการรักษาความปลอดภัยของ Microsoft

Microsoft ปลดเปลื้องทีมรักษาความปลอดภัยระดับองค์กรในปี 2024 ด้วยการอัปเดตความปลอดภัยในเดือนมกราคมที่ค่อนข้างเบา ซึ่งประกอบด้วยแพตช์สำหรับ CVE ที่ไม่ซ้ำกัน 48 รายการ โดยมีเพียง XNUMX รายการเท่านั้นที่บริษัทระบุว่ามีความรุนแรงระดับวิกฤต

เป็นเดือนที่สองติดต่อกันที่ Patch Tuesday ของ Microsoft ไม่รวมข้อบกพร่องแบบ Zero-day ซึ่งหมายความว่าผู้ดูแลระบบจะไม่ต้องต่อสู้กับช่องโหว่ใหม่ที่ผู้โจมตีกำลังหาประโยชน์อย่างแข็งขันในขณะนี้ ซึ่งเป็นสิ่งที่เกิดขึ้นบ่อยครั้งในปี 2023

มีจุดบกพร่องร้ายแรงเพียงสองจุดเท่านั้น

ตามปกติแล้ว CVEs นั้น Microsoft เปิดเผยเมื่อวันที่ 9 มกราคม ส่งผลกระทบต่อผลิตภัณฑ์ที่หลากหลายและรวมถึงช่องโหว่ในการยกระดับสิทธิ์ ข้อบกพร่องในการเรียกใช้โค้ดจากระยะไกล ข้อบกพร่องการบายพาสความปลอดภัย และช่องโหว่อื่น ๆ บริษัทจัดประเภทข้อบกพร่อง 46 รายการว่ามีความรุนแรงที่สำคัญ รวมถึงข้อบกพร่องหลายรายการที่ผู้โจมตีมีแนวโน้มที่จะไม่แสวงหาประโยชน์

หนึ่งในสองข้อบกพร่องร้ายแรงในการอัปเดตล่าสุดของ Microsoft คือ CVE-2024-20674ซึ่งเป็นฟีเจอร์ความปลอดภัยของ Windows Kerberos เลี่ยงช่องโหว่ที่ช่วยให้ผู้โจมตีสามารถเลี่ยงผ่านกลไกการตรวจสอบสิทธิ์และเริ่มการโจมตีด้วยการแอบอ้างบุคคลอื่น “ผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องนี้ผ่านการโจมตีแบบ Machine-in-the-Middle (MitM)” Saeed Abbasi ผู้จัดการฝ่ายวิจัยช่องโหว่ของ Qualys กล่าวในการแสดงความคิดเห็นต่อ Dark Reading “พวกเขาบรรลุเป้าหมายนี้ด้วยการตั้งค่าสถานการณ์การปลอมแปลงเครือข่ายท้องถิ่น จากนั้นส่งข้อความ Kerberos ที่เป็นอันตรายเพื่อหลอกเครื่องไคลเอนต์ให้เชื่อว่าพวกเขากำลังสื่อสารกับเซิร์ฟเวอร์การตรวจสอบสิทธิ์ Kerberos ที่ถูกต้อง”

ช่องโหว่นี้กำหนดให้ผู้โจมตีต้องเข้าถึงเครือข่ายท้องถิ่นเดียวกันกับเป้าหมาย ไม่สามารถหาประโยชน์จากระยะไกลผ่านทางอินเทอร์เน็ตได้ และต้องอยู่ใกล้กับเครือข่ายภายใน ถึงกระนั้นก็ตาม มีความเป็นไปได้สูงที่จะมีการพยายามแสวงหาผลประโยชน์อย่างแข็งขันในอนาคตอันใกล้นี้ Abbasi กล่าว

Ken Breen ผู้อำนวยการอาวุโสฝ่ายวิจัยภัยคุกคามที่ Immersive Labs ระบุ CVE-2024-20674 เป็นข้อบกพร่องที่องค์กรต่างๆ ควรทำการแก้ไขอย่างรวดเร็ว “แนวทางการโจมตีประเภทนี้มีคุณค่าเสมอต่อผู้คุกคาม เช่น ผู้ให้บริการแรนซัมแวร์และตัวกลางในการเข้าถึง” เนื่องจากพวกมันช่วยให้สามารถเข้าถึงเครือข่ายองค์กรได้อย่างมีนัยสำคัญ ตามคำแถลงของ Breen

ช่องโหว่ที่สำคัญอื่นๆ ในการอัปเดตความปลอดภัยชุดล่าสุดของ Microsoft คือ CVE-2024-20700 ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลในเทคโนโลยี Windows Hyper-Virtualization ช่องโหว่นี้ไม่ใช่เรื่องง่ายที่จะหาประโยชน์ เนื่องจากการทำเช่นนั้น ผู้โจมตีจะต้องอยู่ภายในเครือข่ายและอยู่ติดกับคอมพิวเตอร์ที่มีช่องโหว่ก่อน ตามคำแถลงของ Ben McCarthy หัวหน้าวิศวกรความปลอดภัยทางไซเบอร์ที่ Immersive Labs

ช่องโหว่ยังเกี่ยวข้องกับสภาวะการแข่งขัน ซึ่งเป็นปัญหาประเภทหนึ่งที่ผู้โจมตีจะหาประโยชน์ได้ยากกว่าช่องโหว่ประเภทอื่น ๆ “ช่องโหว่นี้ได้รับการเผยแพร่เนื่องจากมีการแสวงหาประโยชน์น้อยกว่า แต่เนื่องจาก Hyper-V ทำงานเป็นสิทธิพิเศษสูงสุดในคอมพิวเตอร์ จึงคุ้มค่าที่จะคิดถึงการแพตช์” McCarthy กล่าว

ข้อบกพร่องในการเรียกใช้โค้ดจากระยะไกลที่มีลำดับความสำคัญสูง

นักวิจัยด้านความปลอดภัยชี้ไปที่ข้อบกพร่อง RCE อีกสองรายการในการอัปเดตเดือนมกราคมที่สมควรได้รับความสนใจเป็นอันดับแรก: CVE-2024-21307 ในไคลเอนต์ Windows Remote Desktop และ CVE-2024-21318 ในเซิร์ฟเวอร์ SharePoint

Microsoft ระบุว่า CVE-2024-21307 เป็นช่องโหว่ที่ผู้โจมตีมีแนวโน้มที่จะใช้ประโยชน์มากกว่า แต่ให้ข้อมูลเพียงเล็กน้อยว่าทำไม ตาม Breen บริษัทตั้งข้อสังเกตว่าผู้โจมตีที่ไม่ได้รับอนุญาตต้องรอให้ผู้ใช้เริ่มการเชื่อมต่อจึงจะสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวได้  

“ซึ่งหมายความว่าผู้โจมตีจะต้องสร้างเซิร์ฟเวอร์ RDP ที่เป็นอันตราย และใช้เทคนิควิศวกรรมสังคมเพื่อหลอกให้ผู้ใช้เชื่อมต่อ” บรีนกล่าว “นี่ไม่ใช่เรื่องยากอย่างที่คิด เนื่องจากเซิร์ฟเวอร์ RDP ที่เป็นอันตรายนั้นค่อนข้างง่ายสำหรับผู้โจมตีในการตั้งค่าและส่งไฟล์แนบ .rdp ในอีเมล หมายความว่าผู้ใช้เพียงแค่เปิดไฟล์แนบเพื่อกระตุ้นการโจมตี”

ข้อบกพร่องในการยกระดับสิทธิ์ที่สามารถใช้ประโยชน์ได้เพิ่มเติมอีกเล็กน้อย

การอัปเดตเดือนมกราคมของ Microsoft มีแพตช์สำหรับช่องโหว่ในการเลื่อนระดับสิทธิ์หลายประการ ในหมู่ที่รุนแรงที่สุดของพวกเขาคือสำหรับ CVE-2023-21310ซึ่งเป็นข้อบกพร่องในการยกระดับสิทธิ์ในไดรเวอร์ Windows Cloud Files Mini Filter ตำหนิจะคล้ายกันมากกับ CVE-2023-36036ซึ่งเป็นช่องโหว่ในการยกระดับสิทธิ์แบบ Zero-day ในเทคโนโลยีเดียวกัน ซึ่ง Microsoft เปิดเผยไว้ในนั้น อัปเดตความปลอดภัยเดือนพฤศจิกายน 2023.

ผู้โจมตีใช้ประโยชน์จากข้อบกพร่องนั้นอย่างกระตือรือร้นเพื่อพยายามรับสิทธิ์ระดับระบบบนเครื่องท้องถิ่น — สิ่งที่พวกเขาสามารถทำได้กับช่องโหว่ที่เพิ่งเปิดเผยเช่นกัน “ขั้นตอนการยกระดับสิทธิ์ประเภทนี้มักพบเห็นได้บ่อยโดยผู้คุกคามในการประนีประนอมเครือข่าย” บรีนกล่าว “มันสามารถช่วยให้ผู้โจมตีปิดการใช้งานเครื่องมือรักษาความปลอดภัยหรือเรียกใช้เครื่องมือการถ่ายโอนข้อมูลประจำตัวเช่น Mimikatz ซึ่งสามารถเปิดใช้งานการเคลื่อนไหวด้านข้างหรือการประนีประนอมของบัญชีโดเมน”

มีข้อบกพร่องในการยกระดับสิทธิ์ที่สำคัญอื่นๆ รวมอยู่ด้วย CVE-2024-20653 ในระบบไฟล์บันทึกทั่วไปของ Windows CVE-2024-20698 ในเคอร์เนลของ Windows CVE-2024-20683 ใน Win32k และ CVE-2024-20686 ใน Win32k Microsoft ได้จัดอันดับข้อบกพร่องเหล่านี้ทั้งหมดเนื่องจากผู้โจมตีมีแนวโน้มที่จะใช้ประโยชน์ ตามคำแถลงของ Satnam Narang วิศวกรวิจัยอาวุโสของ Tenable “ข้อบกพร่องเหล่านี้มักใช้เป็นส่วนหนึ่งของกิจกรรมหลังการประนีประนอม” เขากล่าว “นั่นคือเมื่อผู้โจมตีได้ตั้งหลักบนระบบแล้ว”

ในบรรดาข้อบกพร่องที่ Microsoft จัดอันดับว่าสำคัญแต่ต้องได้รับการดูแลอย่างรวดเร็วก็คือ CVE-2024-0056, คุณลักษณะการบายพาสความปลอดภัยใน SQL Abbasi กล่าว ข้อบกพร่องดังกล่าวช่วยให้ผู้โจมตีสามารถทำการโจมตีแบบเครื่องจักรตรงกลาง สกัดกั้นและอาจเปลี่ยนแปลงการรับส่งข้อมูล TLS ระหว่างไคลเอนต์และเซิร์ฟเวอร์ เขากล่าว “หากถูกโจมตี ผู้โจมตีสามารถถอดรหัส อ่าน หรือแก้ไขการรับส่งข้อมูล TLS ที่ปลอดภัย ละเมิดการรักษาความลับและความสมบูรณ์ของข้อมูล” Abbasi กล่าวว่าผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องเพื่อใช้ประโยชน์จาก SQL Server ผ่านทางผู้ให้บริการข้อมูล SQL

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/ics-ot-security/critical-windows-kerberos-bug-microsoft-security-bypass