W przedostatnim wtorku z aktualizacją w 2023 r. firma Microsoft udostępniła poprawki łącznie pięciu luk typu zero-day, z których trzy zostały już wykorzystane w środowisku naturalnym.
Biorąc pod uwagę, że w tym miesiącu rozwiązano łącznie nieco ponad 60 problemów, spadek listopadowej łatki we wtorek nie jest w żadnym wypadku największym z ostatnich miesięcy i obejmuje mniejszą liczbę produktów niż zwykle.
Trzy wykorzystane dni zerowe są śledzone jako CVE-2023-36025obejście funkcji zabezpieczeń w Windows SmartScreen; CVE-2023-36033, luka w zabezpieczeniach umożliwiająca podniesienie uprawnień (EoP) w bibliotece Windows DWM Core; I CVE-2023-36036, luka w zabezpieczeniach EoP w sterowniku minifiltra plików w chmurze systemu Windows. W przypadku drugiego z nich exploit został publicznie ujawniony, a wszystkie trzy zostały już uwzględnione w CISA Znane wykorzystywane luki sala sławy.
Dwa pozostałe dni zerowe – które zostały upublicznione, ale jeszcze nie zostały wykorzystane – są CVE-2023-36038luka w zabezpieczeniach umożliwiająca odmowę usługi w ASP.NET Core oraz CVE-2023-36413obejście funkcji zabezpieczeń w pakiecie Microsoft Office.
Cztery z pięciu mają wynik CVSS powyżej 7, co oznacza, że są one bardzo poważne według tego wskaźnika, podczas gdy problem z Microsoft Office ma niższy wynik 6,5, co oznacza, że jest uważany za problem o dużej wadze.
Istnieją również trzy krytyczne błędy, chociaż żaden z nich nie został jeszcze ujawniony ani wykorzystany. Są one śledzone jako CVE-2023-36052, luka w zabezpieczeniach umożliwiająca ujawnienie informacji w poleceniu odpoczynku interfejsu wiersza polecenia platformy Azure; CVE-2023-36397 luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu (RCE) w Windows Pragmatic General Multicast; I CVE-2023-36400luka w zabezpieczeniach EoP w Windows HMAC Key Derivation.
Przebiegając oczami po wykorzystanych dniach zerowych, Adam Barnett, główny inżynier oprogramowania w firmie Szybki7, powiedział: „CVE-2023-36025 opisuje obejście funkcji zabezpieczeń Windows SmartScreen. Osoba atakująca, która przekonuje użytkownika do otwarcia specjalnie spreparowanego złośliwego pliku skrótu internetowego, może ominąć ochronę przed phishingiem i złośliwym oprogramowaniem zapewnianą przez filtr Windows SmartScreen. Można to wykorzystać na wczesnym etapie bardziej złożonego łańcucha ataków.
„Wprowadzony pierwotnie w systemie Windows Vista Menedżer dynamicznych okien systemu Windows (DWM) udostępnia wiele nowoczesnych funkcji interfejsu użytkownika, których użytkownicy oczekują od systemu operacyjnego Windows. W tym miesiącu biblioteka DWM Core Library otrzymuje łatkę dla CVE-2023-36033… Eksploatacja prowadzi do uprawnień systemowych, ale Microsoft nie podaje żadnych dalszych wskazówek na temat mechanizmu ataku.
Na tym etapie znanych jest mniej szczegółów trzeciej wykorzystywanej luki, CVE-2023-36035, chociaż ona również przyznaje osobie atakującej uprawnienia na poziomie systemu, co jest częstym krokiem na drodze atakujących, którzy starają się wyłączyć narzędzia zabezpieczające lub uruchomić zrzut danych uwierzytelniających narzędzia – takie jak mimikatz – w służbie ruchu bocznego.
Patrząc na inne dni zerowe, Mike Walters, Akcja 1 współzałożyciel i prezes, skomentował: „CVE-2023-36038 stanowi znaczącą lukę w zabezpieczeniach platformy ASP.NET Core, która może spowodować odmowę usługi. Luka ta jest godna uwagi ze względu na wektor ataku sieciowego, niską złożoność ataku oraz fakt, że do wykorzystania nie wymaga żadnych uprawnień ani interakcji użytkownika.
„Luka może zostać wywołana, gdy żądania HTTP kierowane do platformy .NET 8 RC 1 działającej w modelu hostingu IIS InProcess zostaną anulowane. Może to prowadzić do zwiększenia liczby wątków i potencjalnie spowodować wyjątek OutOfMemoryException. Pomyślne wykorzystanie tej luki może doprowadzić do całkowitej utraty dostępności usług.
Waters stwierdził, że kwestia ta powinna znaleźć się wysoko na liście ze względu na ryzyko przestoju witryn internetowych, na których działają podatne biblioteki, które w rezultacie mogą łatwo stać się przedmiotem rozproszonego ataku typu „odmowa usługi” (DDoS).
Wyjaśnił, że CVE-2023-36413 może w krótkim czasie stać się dużym problemem ze względu na duży potencjał wykorzystania: „Ma wektor ataku sieciowego i charakteryzuje się niską złożonością ataku. Chociaż nie wymaga uprawnień wysokiego poziomu, do wykorzystania konieczna jest interakcja użytkownika.
„Kluczowym aspektem tej luki jest to, że umożliwia atakującym ominięcie chronionego widoku pakietu Office, powodując otwieranie dokumentów w trybie edycji zamiast w bezpieczniejszym trybie chronionym. Chociaż Microsoft potwierdził istnienie koncepcji, obecnie nie ma konkretnych dowodów na wykorzystanie tej luki w środowisku naturalnym. To szczegółowe zrozumienie potencjalnego wpływu luki jest niezbędne do ustalenia priorytetów środków bezpieczeństwa” – powiedział Walters.
Zwróć uwagę na problem PEAP
W innych miejscach inni obserwatorzy zwracali uwagę na inne, bardziej niebezpieczne problemy załatane w tym miesiącu, które niekoniecznie spełniają najważniejsze kryteria, aby stać się dniem zerowym.
Przykuwa uwagę Natalia Silva, główny inżynier ds. treści związanych z bezpieczeństwem cybernetycznym w firmie Wciągające laboratoriabył CVE-2023-36028, luka RCE w protokole Microsoft Protected Extensible Authentication Protocol (PEAP), który jest używany jako bezpieczna platforma uwierzytelniania w sieciach bezprzewodowych. Daje to wynik CVSS na poziomie 9,8, co czyni go mniej więcej tak krytycznym, jak się wydaje.
„Ta luka może zostać wykorzystana przez nieuwierzytelnionego atakującego, którego celem jest serwer Microsoft PEAP, przesyłając przez sieć specjalnie spreparowane złośliwe pakiety PEAP. Oznacza to, że osoba atakująca nie potrzebuje żadnych danych uwierzytelniających ani uwierzytelnień przed rozpoczęciem ataku” – wyjaśnił Silva.
„Jeśli hakerowi uda się wykorzystać atak, będzie on mógł wykonać kod na docelowym serwerze PEAP. Skutkiem wtórnym może być nieautoryzowany dostęp do danych, manipulacja danymi lub inne złośliwe działania.
„CVE-2023-36028 otrzymał wysoki wynik CVSS wynoszący 9,8. Jednak z oceny Microsoftu wynika, że prawdopodobieństwo takiego wykorzystania jest mniejsze. Może to wynikać z połączenia złożoności eksploatacji i częstotliwości znajdowania wdrażanego PEAP” – dodała.
Historycznie rzecz biorąc, Patch Tuesday również odnotował co najmniej jedną wadę RCE na powierzchni Exchange, a listopad 2023 r. nie jest wyjątkiem od tej tendencji. Krok naprzód CVE-2023-36439który przyznaje uprawnienia do wykonywania na poziomie systemu na hoście serwera Exchange.
„Informacje o łatkach wskazują, że osoba atakująca musi być uwierzytelniona i działać lokalnie w sieci, co oznacza, że osoba atakująca musiała już uzyskać dostęp do hosta w sieci” – powiedział Kev Breen, starszy dyrektor ds. badań zagrożeń w firmie Immersive.
„Zazwyczaj osiąga się to poprzez ataki socjotechniczne z wykorzystaniem spear phishingu, mające na celu uzyskanie wstępnego dostępu do hosta przed wyszukaniem innych podatnych na ataki celów wewnętrznych. To, że Twój serwer Exchange nie posiada uwierzytelniania przez Internet, nie oznacza, że jest chroniony.
„Gdyby osoba atakująca uzyskała taki poziom dostępu do serwera Exchange, mogłaby wyrządzić organizacji wiele szkód” – zauważył.
Platforma Exchange jest również nękana trzema lukami w zabezpieczeniach służącymi do fałszowania serwerów CVE-2023-36035, CVE-2023-36039I CVE-2023-36050, z których wszystkie wymagają od osoby atakującej uzyskania dostępu do sieci lokalnej i posiadania prawidłowych poświadczeń, ale ostatecznie mogą prowadzić do ujawnienia poświadczeń lub skrótów NTLM innym użytkownikom. Biorąc pod uwagę błąd RCE, stwierdził Breen, powinny one znajdować się wysoko na liście priorytetów każdego, kto samodzielnie korzysta z Exchange Server.
