Корпорація Майкрософт полегшила команди корпоративної безпеки до 2024 року за допомогою відносно легкого січневого оновлення безпеки, яке складається з виправлень для 48 унікальних CVE, лише два з яких компанія визначила як критично серйозні.
Другий місяць поспіль Microsoft Patch Tuesday не містить жодних помилок нульового дня, а це означає, що адміністраторам не доведеться стикатися з будь-якими новими вразливими місцями, якими зараз активно користуються зловмисники — те, що часто траплялося у 2023 році.
Лише дві серйозні помилки
Як це зазвичай буває, CVE, що Microsoft оголосила 9 січня вплинуло на широкий спектр його продуктів і включало вразливості підвищення привілеїв, недоліки віддаленого виконання коду, помилки обходу безпеки та інші вразливості. Компанія класифікувала 46 недоліків як такі, що мають важливий ступінь серйозності, у тому числі кілька, якими зловмисники швидше за все скористаються.
Однією з двох критичних помилок серйозності в останньому оновленні Microsoft є CVE-2024-20674, функція безпеки Windows Kerberos обходить уразливість, яка дозволяє зловмисникам обходити механізми автентифікації та запускати атаки уособлення. «Зловмисники можуть скористатися цією вадою за допомогою атаки «машина в середині» (MitM), — говорить Саїд Аббасі, менеджер із дослідження вразливостей Qualys у коментарях для Dark Reading. «Вони досягають цього, встановлюючи сценарій підробки локальної мережі, а потім надсилаючи шкідливі повідомлення Kerberos, щоб обдурити клієнтську машину, змусивши повірити, що вони спілкуються з законним сервером автентифікації Kerberos».
Уразливість вимагає, щоб зловмисник мав доступ до тієї ж локальної мережі, що й мета. Його не можна віддалено використовувати через Інтернет і вимагає близькості до внутрішньої мережі. Незважаючи на це, є висока ймовірність активних спроб експлуатації в найближчому майбутньому, каже Аббасі.
Ідентифікував Кен Брін, старший директор із дослідження загроз у Immersive Labs CVE-2024-20674 як помилку, яку організаціям варто швидко виправити. Згідно із заявою Бріна, «такі типи векторів атак завжди є цінними для таких суб’єктів загрози, як оператори програм-вимагачів і брокери доступу», оскільки вони забезпечують значний доступ до корпоративних мереж.
Інша критична вразливість в останній серії оновлень безпеки від Microsoft – CVE-2024-20700, уразливість віддаленого виконання коду в технології гіпервіртуалізації Windows. Згідно із заявою Бена Маккарті, провідного інженера з кібербезпеки в Immersive Labs, цю вразливість не дуже легко використати, оскільки для цього зловмиснику спочатку потрібно буде перебувати всередині мережі та поряд з уразливим комп’ютером.
Уразливість також включає в себе умови гонки — тип проблеми, якою зловмиснику важче скористатися, ніж багатьма іншими типами вразливостей. «Ця вразливість була випущена як використання менш імовірно, але оскільки Hyper-V працює як найвищі привілеї в комп’ютері, варто подумати про виправлення», — сказав Маккарті.
Помилки у віддаленому виконанні коду з високим пріоритетом
Дослідники безпеки вказали на дві інші помилки RCE в січневому оновленні, які заслуговують на першочергову увагу: CVE-2024-21307 у клієнті віддаленого робочого стола Windows і CVE-2024-21318 у SharePoint Server.
Корпорація Майкрософт визначила CVE-2024-21307 як вразливість, якою швидше за все скористаються зловмисники, але надала мало інформації про причини, за словами Бріна. Компанія зазначила, що неавторизованим зловмисникам потрібно дочекатися, поки користувач ініціює з’єднання, щоб мати можливість використати вразливість.
«Це означає, що зловмисники повинні створити шкідливий сервер RDP і використовувати методи соціальної інженерії, щоб обманом змусити користувача підключитися», — сказав Брін. «Це не так складно, як звучить, оскільки зловмисники відносно легко налаштувати шкідливі RDP-сервери, а потім надсилання вкладень .rdp в електронних листах означає, що користувачеві потрібно лише відкрити вкладення, щоб запустити експлойт».
Ще кілька помилок підвищення привілеїв, які можна використовувати
Січневе оновлення Microsoft містило виправлення для кількох уразливостей підвищення привілеїв. Серед найсуворіших з них — за CVE-2023-21310, помилка підвищення привілеїв у драйвері міні-фільтра Windows Cloud Files. Порок дуже схожий на CVE-2023-36036, уразливість ескалації привілеїв нульового дня в тій же технології, яку Microsoft розкрила у своєму Оновлення системи безпеки за листопад 2023 року.
Зловмисники активно використовували цей недолік, щоб спробувати отримати привілеї системного рівня на локальних машинах — те, що вони також можуть зробити з нововиявленою вразливістю. «Цей тип кроку ескалації привілеїв часто спостерігається загрозливими суб’єктами під час зламу мережі», — сказав Брін. «Це може дозволити зловмиснику вимкнути інструменти безпеки або запустити інструменти скидання облікових даних, такі як Mimikatz, які потім можуть увімкнути бічне переміщення або компрометацію облікових записів домену».
Включено деякі інші важливі помилки підвищення привілеїв CVE-2024-20653 у системі Windows Common Log File System, CVE-2024-20698 в ядрі Windows, CVE-2024-20683 у Win32k, і CVE-2024-20686 в Win32k. Згідно із заявою Сатнама Наранга, старшого інженера-дослідника Tenable, Microsoft оцінила всі ці недоліки як проблеми, якими зловмисники частіше можуть скористатися. «Ці помилки зазвичай використовуються як частина посткомпромісної діяльності», — сказав він. «Тобто після того, як зловмисники закріпляться на системах».
Серед недоліків, які Microsoft назвала важливими, але які потребують негайної уваги, є CVE-2024-0056, функція обходу безпеки в SQL, говорить Аббасі. Він зазначає, що недолік дозволяє зловмиснику здійснити атаку типу «машина посередині», перехоплюючи та потенційно змінюючи трафік TLS між клієнтом і сервером. «У разі використання зловмисник може розшифрувати, прочитати або змінити безпечний трафік TLS, порушуючи конфіденційність і цілісність даних». Аббасі каже, що зловмисник також може використати недолік для використання SQL Server через постачальника даних SQL.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/ics-ot-security/critical-windows-kerberos-bug-microsoft-security-bypass
- : має
- :є
- : ні
- $UP
- 2023
- 2024
- 46
- a
- Здатний
- МЕНЮ
- доступ
- За
- Рахунки
- Achieve
- активний
- активно
- діяльність
- актори
- сусідній
- Адміністратори
- постраждалих
- ВСІ
- дозволяє
- вже
- Також
- завжди
- серед
- an
- та
- будь-який
- ЕСТЬ
- AS
- At
- атака
- нападки
- Спроби
- увагу
- Authentication
- BE
- оскільки
- було
- буття
- віруючи
- Бен
- між
- брокери
- Помилка
- помилки
- але
- by
- обходити
- CAN
- випадок
- класифікований
- клієнт
- хмара
- код
- коментарі
- загальний
- зазвичай
- спілкування
- компанія
- компроміс
- комп'ютер
- стан
- конфіденційність
- З'єднувальний
- зв'язку
- Складається
- може
- створювати
- ІНТЕРЕНЦІЙНИЙ
- критичний
- Кібербезпека
- темно
- Темне читання
- дані
- Розшифрувати
- робочий стіл
- DID
- важкий
- Директор
- do
- домен
- водій
- легко
- повідомлення електронної пошти
- включіть
- дозволяє
- інженер
- Машинобудування
- підприємство
- безпека підприємства
- ескалація
- особливо
- Ефір (ETH)
- Навіть
- виконання
- Експлуатувати
- експлуатація
- експлуатований
- особливість
- кілька
- філе
- Файли
- фільтрувати
- Перший
- недолік
- недоліки
- для
- часто
- від
- майбутнє
- Отримувати
- отримала
- сталося
- важче
- Мати
- he
- Високий
- найвищий
- HTTPS
- ідентифікований
- if
- занурення
- важливо
- in
- включати
- включені
- У тому числі
- інформація
- початковий
- ініціювати
- всередині
- цілісність
- внутрішній
- інтернет
- в
- включає в себе
- питання
- питання
- IT
- ЙОГО
- січень
- січня
- JPG
- просто
- Labs
- останній
- запуск
- вести
- законний
- менше
- рівень
- Важіль
- світло
- як
- ймовірність
- Ймовірно
- трохи
- місцевий
- журнал
- машина
- Машинки для перманенту
- malicious
- менеджер
- багато
- сенс
- засоби
- механізми
- Заслуга
- повідомлення
- Microsoft
- MITM
- змінювати
- момент
- місяць
- більше
- найбільш
- руху
- Близько
- Необхідність
- мережу
- мереж
- Нові
- нещодавно
- nist
- зазначив,
- примітки
- зараз
- of
- on
- один раз
- тільки
- відкрити
- Оператори
- or
- порядок
- організації
- Інше
- над
- частина
- пластир
- патч вівторок
- Патчі
- Виправлення
- виконувати
- plato
- Інформація про дані Платона
- PlatoData
- потенційно
- пріоритет
- привілей
- привілеї
- Продукти
- за умови
- Постачальник
- Швидко
- швидко
- Гонки
- діапазон
- ранг
- вимагачів
- номінальний
- Читати
- читання
- щодо
- випущений
- віддалений
- віддалено
- Вимагається
- дослідження
- Дослідники
- прогін
- пробіжки
- s
- Зазначений
- то ж
- говорить
- сценарій
- другий
- безпечний
- безпеку
- засоби безпеки
- Оновлення системи безпеки
- оновлення безпеки
- бачив
- відправка
- старший
- сервер
- сервери
- комплект
- установка
- кілька
- важкий
- строгість
- ділитися думкою
- значний
- аналогічний
- So
- соціальна
- Соціальна інженерія
- що в сім'ї щось
- SQL
- Персонал
- Заява
- Крок
- прямий
- система
- Systems
- T
- Мета
- команди
- методи
- Технологія
- ніж
- Що
- Команда
- Їх
- потім
- Там.
- Ці
- вони
- Мислення
- це
- загроза
- актори загроз
- TLS
- до
- інструменти
- трафік
- викликати
- намагатися
- Вівторок
- два
- тип
- Типи
- типово
- несанкціонований
- створеного
- Оновити
- Updates
- використання
- використовуваний
- користувач
- Цінний
- дуже
- через
- Уразливості
- вразливість
- Вразливий
- чекати
- ДОБРЕ
- були
- який
- чому
- широкий
- Широкий діапазон
- windows
- з
- Виграв
- вартість
- б
- зефірнет