Виправлення зараз: критична помилка Windows Kerberos обходить систему безпеки Microsoft

Корпорація Майкрософт полегшила команди корпоративної безпеки до 2024 року за допомогою відносно легкого січневого оновлення безпеки, яке складається з виправлень для 48 унікальних CVE, лише два з яких компанія визначила як критично серйозні.

Другий місяць поспіль Microsoft Patch Tuesday не містить жодних помилок нульового дня, а це означає, що адміністраторам не доведеться стикатися з будь-якими новими вразливими місцями, якими зараз активно користуються зловмисники — те, що часто траплялося у 2023 році.

Лише дві серйозні помилки

Як це зазвичай буває, CVE, що Microsoft оголосила 9 січня вплинуло на широкий спектр його продуктів і включало вразливості підвищення привілеїв, недоліки віддаленого виконання коду, помилки обходу безпеки та інші вразливості. Компанія класифікувала 46 недоліків як такі, що мають важливий ступінь серйозності, у тому числі кілька, якими зловмисники швидше за все скористаються.

Однією з двох критичних помилок серйозності в останньому оновленні Microsoft є CVE-2024-20674, функція безпеки Windows Kerberos обходить уразливість, яка дозволяє зловмисникам обходити механізми автентифікації та запускати атаки уособлення. «Зловмисники можуть скористатися цією вадою за допомогою атаки «машина в середині» (MitM), — говорить Саїд Аббасі, менеджер із дослідження вразливостей Qualys у коментарях для Dark Reading. «Вони досягають цього, встановлюючи сценарій підробки локальної мережі, а потім надсилаючи шкідливі повідомлення Kerberos, щоб обдурити клієнтську машину, змусивши повірити, що вони спілкуються з законним сервером автентифікації Kerberos».

Уразливість вимагає, щоб зловмисник мав доступ до тієї ж локальної мережі, що й мета. Його не можна віддалено використовувати через Інтернет і вимагає близькості до внутрішньої мережі. Незважаючи на це, є висока ймовірність активних спроб експлуатації в найближчому майбутньому, каже Аббасі.

Ідентифікував Кен Брін, старший директор із дослідження загроз у Immersive Labs CVE-2024-20674 як помилку, яку організаціям варто швидко виправити. Згідно із заявою Бріна, «такі типи векторів атак завжди є цінними для таких суб’єктів загрози, як оператори програм-вимагачів і брокери доступу», оскільки вони забезпечують значний доступ до корпоративних мереж.

Інша критична вразливість в останній серії оновлень безпеки від Microsoft – CVE-2024-20700, уразливість віддаленого виконання коду в технології гіпервіртуалізації Windows. Згідно із заявою Бена Маккарті, провідного інженера з кібербезпеки в Immersive Labs, цю вразливість не дуже легко використати, оскільки для цього зловмиснику спочатку потрібно буде перебувати всередині мережі та поряд з уразливим комп’ютером.

Уразливість також включає в себе умови гонки — тип проблеми, якою зловмиснику важче скористатися, ніж багатьма іншими типами вразливостей. «Ця вразливість була випущена як використання менш імовірно, але оскільки Hyper-V працює як найвищі привілеї в комп’ютері, варто подумати про виправлення», — сказав Маккарті.

Помилки у віддаленому виконанні коду з високим пріоритетом

Дослідники безпеки вказали на дві інші помилки RCE в січневому оновленні, які заслуговують на першочергову увагу: CVE-2024-21307 у клієнті віддаленого робочого стола Windows і CVE-2024-21318 у SharePoint Server.

Корпорація Майкрософт визначила CVE-2024-21307 як вразливість, якою швидше за все скористаються зловмисники, але надала мало інформації про причини, за словами Бріна. Компанія зазначила, що неавторизованим зловмисникам потрібно дочекатися, поки користувач ініціює з’єднання, щоб мати можливість використати вразливість.  

«Це означає, що зловмисники повинні створити шкідливий сервер RDP і використовувати методи соціальної інженерії, щоб обманом змусити користувача підключитися», — сказав Брін. «Це не так складно, як звучить, оскільки зловмисники відносно легко налаштувати шкідливі RDP-сервери, а потім надсилання вкладень .rdp в електронних листах означає, що користувачеві потрібно лише відкрити вкладення, щоб запустити експлойт».

Ще кілька помилок підвищення привілеїв, які можна використовувати

Січневе оновлення Microsoft містило виправлення для кількох уразливостей підвищення привілеїв. Серед найсуворіших з них — за CVE-2023-21310, помилка підвищення привілеїв у драйвері міні-фільтра Windows Cloud Files. Порок дуже схожий на CVE-2023-36036, уразливість ескалації привілеїв нульового дня в тій же технології, яку Microsoft розкрила у своєму Оновлення системи безпеки за листопад 2023 року.

Зловмисники активно використовували цей недолік, щоб спробувати отримати привілеї системного рівня на локальних машинах — те, що вони також можуть зробити з нововиявленою вразливістю. «Цей тип кроку ескалації привілеїв часто спостерігається загрозливими суб’єктами під час зламу мережі», — сказав Брін. «Це може дозволити зловмиснику вимкнути інструменти безпеки або запустити інструменти скидання облікових даних, такі як Mimikatz, які потім можуть увімкнути бічне переміщення або компрометацію облікових записів домену».

Включено деякі інші важливі помилки підвищення привілеїв CVE-2024-20653 у системі Windows Common Log File System, CVE-2024-20698 в ядрі Windows, CVE-2024-20683 у Win32k, і CVE-2024-20686 в Win32k. Згідно із заявою Сатнама Наранга, старшого інженера-дослідника Tenable, Microsoft оцінила всі ці недоліки як проблеми, якими зловмисники частіше можуть скористатися. «Ці помилки зазвичай використовуються як частина посткомпромісної діяльності», — сказав він. «Тобто після того, як зловмисники закріпляться на системах».

Серед недоліків, які Microsoft назвала важливими, але які потребують негайної уваги, є CVE-2024-0056, функція обходу безпеки в SQL, говорить Аббасі. Він зазначає, що недолік дозволяє зловмиснику здійснити атаку типу «машина посередині», перехоплюючи та потенційно змінюючи трафік TLS між клієнтом і сервером. «У разі використання зловмисник може розшифрувати, прочитати або змінити безпечний трафік TLS, порушуючи конфіденційність і цілісність даних». Аббасі каже, що зловмисник також може використати недолік для використання SQL Server через постачальника даних SQL.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/ics-ot-security/critical-windows-kerberos-bug-microsoft-security-bypass