Firma Microsoft wydała łaty dla dwóch luk zero-day spośród łącznie nieco ponad 80 błędów jego miesięczna aktualizacja Patch Tuesday.
Liczba problemów, która obejmuje cztery CVE, które zostały przypisane przez Github, jest mniej więcej na poziomie ilości ujawnień odnotowanych w pierwszych dwóch miesiącach roku, z innym dużym nachyleniem w kierunku problemów związanych ze zdalnym wykonaniem kodu (RCE).
„Microsoft rozwiązał w tym miesiącu 80 nowych CVE i rozszerzył cztery wcześniej wydane CVE o dodatkowe wersje systemu Windows”, powiedział Ivanti wiceprezes ds. produktów zabezpieczających Chris Goettl. „To daje łączną liczbę CVE skierowanych w tym miesiącu do 84. W aktualizacjach tego miesiąca rozwiązano dwa potwierdzone luki typu zero-day, które mają wpływ na Microsoft Office i Windows Smart Screen. Celem obu exploitów są użytkownicy. Łącznie w tym miesiącu oceniono dziewięć CVE jako krytyczne. Osiem z dziewięciu krytycznych CVE znajduje się w aktualizacji systemu operacyjnego Windows w tym miesiącu”.
Śledzone jako CVE-2023-23397, Perspektywy luka jest wykorzystywana, ale do tej pory nie została upubliczniona. Niesie wynik CVSS 9,1 i ma duże nasilenie. Jest to luka w zabezpieczeniach związana z podniesieniem uprawnień (EoP), którą można wykorzystać, wysyłając wiadomość e-mail do potencjalnego celu.
Jest uruchamiany po stronie serwera poczty e-mail, co oznacza, że można go wykorzystać, zanim wiadomość e-mail zostanie faktycznie otwarta i wyświetlona. Pomyślnie wykorzystany, pozwala nieuwierzytelnionemu aktorowi uzyskać dostęp do skrótu Net-NTLMv2 ofiary i użyć go do uwierzytelnienia jako ofiara, z pominięciem środków uwierzytelniających.
Kev Breen, Wciągające laboratoria dyrektor ds. badań nad cyberzagrożeniami, powiedział, że CVE-2023-23397 jest szczególnie niebezpieczny, a dodatkowo zauważył, że przypisany mu status błędu EoP nie do końca dokładnie to odzwierciedla.
„Znany jako atak przekaźnikowy NTLM, umożliwia atakującemu uzyskanie czyjegoś skrótu NTLM i użycie go w ataku powszechnie znanym jako Pass the Hash” — powiedział. „Luka skutecznie umożliwia atakującemu uwierzytelnienie się jako zaufana osoba bez konieczności znajomości hasła tej osoby. Jest to porównywalne z atakiem, który ma ważne hasło dostępu do systemów organizacji”.
Jego odkrycie przypisuje się współpracującym ze sobą zespołom reagowania na incydenty i analizy zagrożeń firmy Microsoft Narodowy CERT Ukrainyco oznacza, że jest wykorzystywany przez rosyjskie podmioty państwowe w swoich działaniach trwająca kampania cyberwojna.
Szybki7 Główny inżynier oprogramowania, Adam Barnett, powiedział: „Microsoft wykrył wykorzystywanie w środowisku naturalnym przez rosyjskiego cyberprzestępcę, którego celem są cele rządowe, wojskowe i infrastruktury krytycznej w Europie. Biorąc pod uwagę wektor ataku sieciowego, wszechobecność udziałów SMB i brak wymaganej interakcji ze strony użytkownika, osoba atakująca mająca odpowiednie przyczółki w sieci może uznać tę lukę za głównego kandydata do ataku bocznego”.
Drugi dzień zero jest śledzony jako CVE-2023-24880. Jest publiczny i wiadomo, że był eksploatowany na wolności. Luka w zabezpieczeniach umożliwiająca obejście w Windows SmartScreen usługa ochrony przed phishingiem i złośliwym oprogramowaniem, ma ocenę CVSS 5,4 i jest umiarkowana.
Pozostawiony bez odpowiedzi, CVE-2023-24880 umożliwia atakującemu utworzenie pliku, który omija ochronę Mark of the Web, znacznie ułatwiając rozprzestrzenianie skażonych dokumentów i złośliwego oprogramowania, które w innym przypadku mogłoby zostać wykryte przez SmartScreen.
Breen powiedział, że chociaż ma mniej surową ocenę, obrońcy nadal powinni traktować priorytetowo naprawę. „Notatki Microsoftu mówią, że osoba atakująca może stworzyć złośliwy plik, który wyłączy niektóre funkcje bezpieczeństwa, takie jak„ widok chroniony ”w pakiecie Microsoft Office” — powiedział.
„Złośliwe oprogramowanie oparte na makrach jest nadal często postrzegane jako część początkowych naruszeń bezpieczeństwa, a użytkownicy przyzwyczaili się do tych monitów chroniących ich przed niebezpiecznymi plikami” — dodał Breen. „Protected View i Mark of the Web powinny być częścią strategii dogłębnej obrony, a nie pojedynczą warstwą ochrony”.
Jego odkrycie przypisuje się Benoit Sevens i Vladowi Stolyarovowi z Google Threat Analysis Group oraz Billowi Demirkapi z Microsoftu.
Krytyczne luki w zabezpieczeniach
Krytyczne luki wymienione w marcowej aktualizacji to:
Spośród nich Gal Sadeh, szef działu badań nad danymi i bezpieczeństwem w firmie Silverfortpowiedział, że CVE-2023-21708 i CVE-2023-23415 były szczególnie godne uwagi.
„Krytyczna luka RCE w Remote Procedure Call Runtime, CVE-2023-21708, powinna być priorytetem dla zespołów ds. „Aktorzy zagrożeń mogą to wykorzystać do zaatakowania kontrolerów domeny, które są domyślnie otwarte. Aby zaradzić, zalecamy, aby kontrolery domeny zezwalały na RPC tylko z autoryzowanych sieci, a ruch RPC do niepotrzebnych punktów końcowych i serwerów był ograniczony.
„Kolejna krytyczna luka w zabezpieczeniach, CVE-2023-23415, stanowi poważne zagrożenie, ponieważ umożliwia atakującym wykorzystanie luki w protokole Internet Control Message Protocol – który często nie jest ograniczany przez zapory ogniowe – w celu uzyskania zdalnego wykonania kodu na odsłoniętych serwerach przy użyciu złośliwego pakietu. Wymaganie ukierunkowania na surowe gniazdo — każda organizacja korzystająca z takiej infrastruktury powinna albo załatać, albo zablokować pakiety ICMP na zaporze ogniowej — powiedział Sadeh.