Корпорація Майкрософт усунула п’ять критичних вразливостей безпеки у своєму вересневому оновленні Patch Tuesday, а також два «важливих» нульових дня під активними атаками в дикій природі.
Загалом корпорація Майкрософт випустила 59 нових виправлень, які виправляють помилки в усіх продуктах: вони стосуються Microsoft Windows, Exchange Server, Office, .NET і Visual Studio, Azure, Microsoft Dynamics і Windows Defender.
Оновлення також містить декілька проблем сторонніх розробників, зокрема активно експлуатована, критична помилка нульового дня Chromium що впливає на Microsoft Edge. Із зовнішніми проблемами кількість CVE становить 65.
Незважаючи на широкий спектр виправлень, дослідники відзначили, що пріоритети виправлення цього місяця є досить простими, а нульові дні, критичні помилки та проблеми в сервері Microsoft Exchange Server і реалізації протоколу TCP/IP у ОС Windows повинні бути спрямовані на передній план. лінія для більшості організацій.
Microsoft Zero-Days під активним експлойтом
У той час як два з CVE вказано як такі, що використовувалися зловмисниками в дикій природі до виправлення, лише один вказано як загальновідомий. Обидва мають бути у верхній частині списку для виправлення зі зрозумілих причин.
Публічна помилка виявлена в Microsoft Word (CVE-2023-36761, CVSS 6.2); це класифікується як проблема «розкриття інформації», але Дастін Чайлдс, дослідник Zero Day Initiative (ZDI) Trend Micro, зазначив, що це суперечить її серйозності.
«Зловмисник може використовувати цю вразливість, щоб дозволити розкриття хешів NTLM, які потім, ймовірно, будуть використані в Атака в стилі ретрансляції NTLM", - пояснив він у вівторок опубліковано у вересневому випуску виправлення Microsoft. «Незалежно від класифікації, панель попереднього перегляду тут також є вектором, що означає, що жодної взаємодії з користувачем не потрібно. Безумовно, поставте його на перше місце у своєму списку тестування та розгортання».
Інший нульовий день існує в операційній системі Windows (CVE-2023-36802, CVSS 7.8), зокрема в проксі-сервері служби потокового передавання Microsoft Stream (раніше відомому як Office 365 Video). Згідно з консультацією, для успішної експлуатації зловмиснику потрібно буде запустити спеціально створену програму, яка дозволить підвищити привілеї до прав адміністратора або системи.
«Це восьме підвищення привілеїв уразливості нульового дня, використаної в дикій природі в 2023 році», — розповідає Dark Reading Сатнам Наранг, старший інженер-дослідник Tenable. «Оскільки нападники мають безліч способів зламати організації, просто отримати доступ до системи може бути не завжди достатньо, і саме тут недоліки підвищення привілеїв стають набагато ціннішими, особливо нульових днів».
Вересень 2023 Критичні вразливості
Коли справа доходить до критичних помилок, одна з найбільш тривожних CVE-2023-29332, знайдений у службі Microsoft Azure Kubernetes. Це може дозволити віддаленому, неавтентифікованому зловмиснику отримати вигоду Кластер Kubernetes адміністративні привілеї.
«Цей виділяється тим, що до нього можна отримати доступ з Інтернету, не вимагає взаємодії з користувачем і вказано як низьку складність», — попередив Чайлдс у своєму дописі. «Виходячи з віддаленого, неавтентифікованого аспекту цієї помилки, це може виявитися досить спокусливим для зловмисників».
Три з критично оцінених виправлень є проблемами RCE, які впливають на Visual Studio (CVE-2023-36792, CVE-2023-36793 та CVE-2023-36796, усі з оцінкою CVSS 7.8). Усі вони можуть призвести до виконання довільного коду під час відкриття файлу шкідливого пакета з ураженою версією програмного забезпечення.
«Враховуючи Visual Studio широке використання серед розробників, вплив таких уразливостей може мати ефект доміно, поширюючи шкоду далеко за межі початково скомпрометованої системи», – Том Боуєр, менеджер із безпеки продуктів Automox, сказано в дописі. «У гіршому випадку це може означати крадіжку або пошкодження власного вихідного коду, впровадження бекдорів або зловмисне втручання, яке може перетворити вашу програму на панель запуску для атак на інших».
Останнє критичне питання CVE-2023-38148 (CVSS 8.8, найсуворіший виправлення, яке Microsoft внесла цього місяця), що дозволяє неавтентифіковане віддалене виконання коду через функцію спільного доступу до Інтернету (ICS) у Windows. Його ризик зменшується тим фактом, що зловмиснику потрібно буде бути суміжним з мережею; крім того, більшість організацій більше не використовують ICS. Однак ті, хто все ще використовує його, повинні негайно виправити.
«Якщо зловмисники успішно скористаються цією вразливістю, може статися повна втрата конфіденційності, цілісності та доступності», — каже Наталі Сільва, провідний інженер із кібербезпеки Immersive Labs. «Неавторизований зловмисник може використати цю вразливість, надіславши спеціально створений мережевий пакет до служби. Це може призвести до виконання довільного коду, що потенційно призведе до несанкціонованого доступу, маніпулювання даними або збою в роботі сервісів».
Інші виправлення Microsoft для пріоритету
У вересневе оновлення також включено набір помилок Microsoft Exchange Server, які вважаються «швидше використаними».
Тріо питань (CVE-2023-36744, CVE-2023-36745 та CVE-2023-36756, усі з рейтингом CVSS 8.0) впливають на версії 2016–2019 і дозволяють атаки RCE на службу.
«Хоча жодна з цих атак не призводить до RCE на самому сервері, це може дозволити мережевому зловмиснику з дійсними обліковими даними змінити дані користувача або отримати хеш Net-NTLMv2 для цільового облікового запису користувача, який, у свою чергу, може бути зламаний для відновлення пароль користувача або передається внутрішньо в мережі для атаки на іншу службу», — каже Роберт Рівз, головний інженер із кібербезпеки Immersive.
Він додає: «Якщо привілейовані користувачі — ті, хто має права адміністратора домену або подібні дозволи в мережі — мають поштову скриньку, створену на Exchange, всупереч порадам Microsoft щодо безпеки, така релейна атака може мати значні наслідки».
І, нарешті, дослідники Automox помітили вразливість до відмови в обслуговуванні (DoS) у Windows TCP/IP (CVE-2023-38149, CVSS 7.5) як пріоритет.
Помилка впливає на будь-яку мережеву систему та «дозволяє зловмиснику через мережевий вектор порушити роботу служби без будь-якої автентифікації користувача або високої складності», — сказав Джейсон Кікта, керівник служби безпеки Automox. розбивка Patch Tuesday. «Ця вразливість становить значну загрозу… цифровому ландшафту. Ці слабкі місця можна використати для перевантаження серверів, порушуючи нормальне функціонування мереж і служб і внаслідок чого вони стають недоступними для користувачів».
Усе це не впливає на системи з вимкненим IPv6.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- ChartPrime. Розвивайте свою торгову гру за допомогою ChartPrime. Доступ тут.
- BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
- джерело: https://www.darkreading.com/application-security/microsoft-patches-pair-of-actively-exploited-zero-days
- :є
- : ні
- :де
- 2023
- 65
- 7
- 8
- a
- доступ
- За
- рахунки
- через
- активний
- активно
- актори
- адресований
- адресація
- Додає
- адмін
- адміністрація
- рада
- консультативний
- впливати
- проти
- ВСІ
- дозволяти
- дозволяє
- по
- Також
- завжди
- серед
- an
- та
- Інший
- будь-який
- додаток
- ЕСТЬ
- AS
- зовнішній вигляд
- At
- атака
- нападки
- Authentication
- наявність
- Лазурний
- бекдори
- заснований
- BE
- оскільки
- ставати
- буття
- За
- обидва
- широта
- Пробій
- Помилка
- помилки
- але
- by
- CAN
- викликаючи
- хром
- CISO
- класифікація
- класифікований
- код
- приходить
- складність
- Компрометація
- щодо
- конфіденційність
- зв'язку
- Наслідки
- навпаки
- Корупція
- може
- тріщини
- створений
- створений
- Повноваження
- критичний
- Кібербезпека
- темно
- Темне читання
- дані
- день
- вважається
- безумовно
- цифровий
- інвалід
- розкриття
- Зривати
- Зрив
- домен
- DOS
- динаміка
- край
- ефект
- Восьмий
- або
- інженер
- досить
- ескалація
- особливо
- Ефір (ETH)
- обмін
- виконання
- існує
- пояснені
- Експлуатувати
- експлуатація
- експлуатований
- зовнішній
- факт
- достатньо
- філе
- остаточний
- в кінці кінців
- п'ять
- позначений прапором
- недоліки
- для
- раніше
- знайдений
- від
- перед
- функція
- функціонування
- далі
- Отримувати
- отримання
- даний
- вага
- жменя
- шкодити
- мішанина
- Мати
- he
- голова
- тут
- Високий
- його
- Однак
- HTTPS
- ICS
- if
- негайно
- занурення
- Impact
- реалізація
- важливо
- in
- включені
- У тому числі
- об'єднує
- інформація
- спочатку
- Ініціатива
- цілісність
- взаємодія
- внутрішньо
- інтернет
- internet connection
- в
- Вступ
- питання
- питання
- IT
- ЙОГО
- сам
- JPG
- відомий
- Кубернетес
- Labs
- ландшафт
- Лаунчпад
- вести
- Ймовірно
- Лінія
- список
- Перераховані
- довше
- від
- низький
- менеджер
- Маніпуляція
- Може..
- значити
- засоби
- мікро-
- Microsoft
- Microsoft Край
- Microsoft Windows,
- Microsoft Word
- місяць
- більше
- найбільш
- багато
- Необхідність
- нужденних
- мережу
- мережу
- мереж
- мережі та сервіси
- Нові
- немає
- ніхто
- нормальний
- зазначив,
- номер
- Очевидний
- of
- Office
- управління 365
- on
- ONE
- тільки
- відкриття
- операційний
- операційна система
- or
- організації
- Інше
- інші
- з
- пакет
- пара
- pane
- Пароль
- пластир
- патч вівторок
- Патчі
- Виправлення
- Дозволи
- plato
- Інформація про дані Платона
- PlatoData
- пошта
- потенційно
- попередній перегляд
- Головний
- попередній
- пріоритетів
- Пріоритетність
- привілей
- привілейовані
- привілеї
- проблеми
- Product
- програма
- власником
- протокол
- Доведіть
- повноваження
- громадськість
- публічно
- put
- рейтинг
- досяг
- читання
- Причини
- Відновлювати
- Незалежно
- Реле
- випущений
- віддалений
- представляє
- вимагається
- Вимагається
- дослідження
- дослідник
- Дослідники
- результат
- в результаті
- Risk
- РОБЕРТ
- прогін
- s
- Зазначений
- говорить
- сценарій
- рахунок
- безпеку
- відправка
- старший
- Вересень
- обслуговування
- Послуги
- комплект
- важкий
- поділ
- Повинен
- значний
- silva
- аналогічний
- просто
- Софтвер
- Source
- вихідні
- спеціально
- конкретно
- Поширення
- Персонал
- стенди
- Як і раніше
- просто
- потік
- потоковий
- Потокове сервіс
- студія
- стиль
- успішний
- Успішно
- такі
- система
- Systems
- цільове
- TCP/IP
- розповідає
- Що
- Команда
- крадіжка
- Їх
- потім
- Там.
- Ці
- вони
- третя сторона
- це
- ті
- загроза
- актори загроз
- до
- Том
- топ
- Усього:
- Trend
- Компанія Trend Micro
- тріо
- Вівторок
- ПЕРЕГЛЯД
- два
- при
- Оновити
- Використання
- використання
- використовуваний
- користувач
- користувачі
- використання
- Цінний
- версія
- через
- Відео
- Уразливості
- вразливість
- способи
- ДОБРЕ
- коли
- який
- в той час як
- Wild
- windows
- з
- в
- без
- слово
- б
- вашу
- зефірнет
- нуль
- Zero Day