Krytyczne wady SharePoint i Qakbot powiązane z majową łatką we wtorek


Krytyczna luka w zabezpieczeniach programu Microsoft SharePoint Server oraz dwie luki dnia zerowego w platformie Windows MSHTML i bibliotece podstawowej Windows Desktop Window Manager (DWM) powinny być w centrum uwagi administratorów, ponieważ Microsoft publikuje swoje comiesięczne Łatka we wtorek aktualizacja rozwiązująca ponad 60 błędów i problemów.

Wada SharePoint Server – jedyna krytyczna luka, która pojawiła się w maju 2024 r. – to luka umożliwiająca zdalne wykonanie kodu (RCE), śledzona jako CVE-2024-30044. Szczegóły na jego temat nie zostały jeszcze upublicznione i nie wydaje się, aby był on wykorzystywany na wolności.

Microsoft stwierdził, że jeśli uwierzytelniona osoba atakująca uzyska uprawnienia właściciela witryny, może wykorzystać CVE-2024-30044 w celu przesłania specjalnie spreparowanego pliku na serwer ofiary i utworzenia wyspecjalizowanych żądań interfejsu programowania aplikacji (API) w celu uruchomienia deserializacji parametrów pliku. W ten sposób mogliby następnie osiągnąć RCE w kontekście zaatakowanego serwera.

Fakt, że CVE-2024-30044 wynika z problemu z deserializacją niezaufanych danych, sprawia, że ​​jest to szczególnie problematyczne, wyjaśnił Mike Walters, prezes i współzałożyciel firmy Akcja 1ponieważ umożliwia atakującym wstrzyknięcie i wykonanie dowolnego kodu podczas procesu deserializacji.

„Osoba atakująca mająca podstawowe uprawnienia Site Viewer może wykorzystać tę lukę do zdalnego wykonania kodu, umożliwiając takie działania, jak wdrażanie powłok internetowych, instalowanie złośliwego oprogramowania lub wydobywanie poufnych danych” – powiedział Walters. „Jeśli osoba atakująca uzyska początkowy dostęp za pomocą innych sposobów, takich jak phishing lub inna luka w zabezpieczeniach, może użyć CVE-2024-30044, aby zapewnić trwalszą i potężniejszą pozycję w sieci.

„Połączenie tej luki z inną, która umożliwia eskalację uprawnień, mogłoby umożliwić atakującym przejście od początkowego dostępu do pełnej kontroli administracyjnej” – powiedział.

Reklama

„Może to ułatwić utrzymanie się w sieci i utrudnić wykrywanie. Po przejęciu kontroli osoby atakujące mogą skorzystać z dalszych narzędzi w celu wydobycia poufnych danych z serwera SharePoint, co może prowadzić do poważnych naruszeń bezpieczeństwa danych. Ponadto po zdalnym wykonaniu kodu cyberprzestępcy mogą wdrożyć oprogramowanie ransomware w celu zaszyfrowania krytycznych plików na serwerze SharePoint, żądając okupu za klucze deszyfrujące”.

Linkowanie i osadzanie obiektów

Dwie wady dnia zerowego w tym miesiącu to: CVE-2024-30040lukę w zabezpieczeniach pozwalającą na ominięcie funkcji zabezpieczeń w platformie Windows MSHTML oraz CVE-2024-30051luka w zabezpieczeniach umożliwiająca podniesienie uprawnień (EoP) w bibliotece Windows DWM Core.

W pierwszym z nich Microsoft ujawnił, w jaki sposób zasadniczo pozwala złośliwemu aktorowi ominąć zabezpieczenia polegające na łączeniu i osadzaniu obiektów (OLE) w Microsoft 365 i pakiecie Microsoft Office, namawiając użytkownika do załadowania skażonego pliku do podatnego systemu za pośrednictwem wiadomości e-mail lub wiadomości błyskawicznej typu phishing. i przekonanie ich do manipulowania nim, choć niekoniecznie do kliknięcia lub otwarcia go. Dałoby to nieuwierzytelnionemu atakującemu możliwość wykonania dowolnego kodu przedstawiającego się jako ofiara.

Kwakrzy dla Qakbota

Jeśli chodzi o lukę w bibliotece Windows DWM Core Library, Microsoft stwierdził, że umożliwi ona osobie atakującej uzyskanie uprawnień na poziomie systemu w systemie ofiary, ale nie podał zbyt wiele dodatkowego kontekstu ani szczegółów. Wiadomo, że wynika to z przepełnienia bufora opartego na stercie, co czyni go potencjalnie poważnym i może zostać wykorzystany przez lokalnego użytkownika ze stosunkowo niskimi uprawnieniami.

Spośród dwóch dni zerowych to CVE-2024-30051 wzbudził duże zainteresowanie wśród ekspertów ds. cybernetyki ze względu na historyczne powiązania z niechlubnym zagrożeniem.

Tyler Reguly, starszy menedżer ds. badań i rozwoju bezpieczeństwa w firmie Fortra, wyjaśnił: „W tym miesiącu wszyscy będą mówić o CVE-2024-30051, ponieważ wiadomo, że jest on używany w QakBot i innym złośliwym oprogramowaniu. Jest to aktualizacja, którą należy zastosować jak najszybciej, biorąc pod uwagę charakter luki oraz fakt, że potwierdzono wykorzystanie luki w świecie rzeczywistym.”

Qakbot to szanowane szkodliwe oprogramowanie bankowe, którego historia sięga ponad dekady. Ostatnio stał się popularny wśród cyberprzestępców jako trojan zdalnego dostępu (RAT), wykorzystywany z wielkim skutkiem przez gangi ransomware, takie jak LockBit i REvil.

Jego infrastruktura została zniszczona w sierpniu 2023 r w operacji kierowanej przez FBI nazwano Operacją Duck Hunt, ale od lutego 2024 r. badacze z zespołu Sophos X-Ops zgłosili, że ktoś mający dostęp do kodu źródłowego Qakbota najwyraźniej testował nowe wersje oraz podjęcie wspólnych wysiłków w celu wzmocnienia szyfrowania szkodliwego oprogramowania, co oznacza, że ​​nowy wariant może skuteczniej przeciwstawić się analizie.

Podatność została odkryta przez Kaspersky badaczy na początku kwietnia, kiedy ich uwagę zwrócił podejrzany dokument znaleziony w serwisie VirusTotal. Napisany łamanym angielskim i pozbawiony kluczowych szczegółów dokument wskazywał na potencjalną lukę w zabezpieczeniach systemu operacyjnego Windows, ale łańcuch exploitów wydawał się identyczny z tym, który został użyty do aktywacji poprzedniego dnia zerowego, CVE-2023-36033.

Podejrzewając, że luka jest fikcyjna lub nonsensowna, której nie można wykorzystać, zespół Kaspersky postanowił zbadać ją głębiej i szybko ustalił i zgłosił fakt, że CVE-2023-30051 jest autentyczny. Od tego czasu zespół monitorował jego wykorzystanie i stwierdził dzisiaj, że exploit krąży od połowy kwietnia.

„Dokument w witrynie VirusTotal uznaliśmy za intrygujący ze względu na jego opisowy charakter i postanowiliśmy zbadać go bliżej, co doprowadziło nas do odkrycia tej krytycznej luki typu zero-day” – powiedział Boris Larin, główny badacz bezpieczeństwa w Kaspersky GReAT. „Szybkość, z jaką ugrupowania zagrażające włączają ten exploit do swojego arsenału, podkreśla znaczenie terminowych aktualizacji i czujności w zakresie bezpieczeństwa cybernetycznego”.

Kaspersky poinformował, że planuje udostępnić więcej szczegółów technicznych CVE-2024-30051, gdy upłynie wystarczająco dużo czasu, aby bezbronni użytkownicy mogli dokonać aktualizacji.

Walters z Action1 dodał: „Biorąc pod uwagę krytyczny charakter i niewielką złożoność exploita, CVE-2024-30051 stwarza znaczne ryzyko, szczególnie w środowiskach z licznymi i zróżnicowanymi użytkownikami lokalnymi, takimi jak sieci korporacyjne i instytucje akademickie.

„Istnienie funkcjonalnego kodu exploita i potwierdzone raporty o wykorzystaniu sugerują, że osoby atakujące są dobrze zaznajomione z tą luką i aktywnie wykorzystują ją w kampaniach” – stwierdził. „W świetle wysokiego poziomu uprawnień osiąganych dzięki temu exploitowi dla organizacji ważne jest, aby priorytetowo potraktować wdrażanie oficjalnego oprogramowania Microsoft skrawek w celu złagodzenia potencjalnych szkód.”



Source link

Advertisment

Więcej

Advertisment

Podobne

Advertisment

Najnowsze

Knowledge24: „Nie możesz iść w życiu sam” – mówi aktorka Viola Davis

Podczas konferencji użytkowników ServiceNow Knowledge24 w Vegas aktorka, autorka i producentka Viola Davis powiedziała: „Nie zaczynałam od skoku, ale raczej od serii zataczania...

Kobiety w danych: CDO BAE Systems wyjaśnia, dlaczego różnorodność danych ma znaczenie

Praca z dzikimi gorylami i gibonami ratowniczymi nie jest tradycyjną drogą do kariery w branży danych i technologii. Ale dla Johanny Hutchinson...

Jak oglądać serial komediowy Próbowanie na Apple TV+

Dzisiaj, AppleTV+ Premiera czwartego sezonu brytyjskiego oryginalnego serialu komediowego Próbować, z udziałem Rafe’a Spalla i Esther Smith. Pierwsze dwa odcinki nowego sezonu...
Advertisment