Microsoft wydaje poprawki systemu Windows, naprawia aktywnie wykorzystywane luki w zabezpieczeniach typu zero-day


Firma Microsoft udostępniła dziś mnóstwo aktualizacji w ramach marcowego wtorku poprawek, aby usunąć około 80 luk w zabezpieczeniach występujących na wolności. Na początek poprawki KB5023696 i KB5023697 do systemu Windows 10 rozwiązują problemy z systemem i bezpieczeństwem w wersjach systemu Windows 10 22H2, 21H2, 21H1, 1809 i 1607, a także w systemie Windows Server 2016. Są one wdrażane jako aktualizacje nieopcjonalne i będą instalowane automatycznie za pośrednictwem Windows Update (chyba że uruchomisz zmodyfikowaną lub zablokowaną instalację). Windows 10 1507 również otrzymał małą łatkę, KB5023713który podobnie dotyczy poprawek zabezpieczeń, a także hiperłączy w programie Excel.

Firma Microsoft publikuje dziś również poprawki dla dwóch krytycznych luk zero-day, które były aktywnie wykorzystywane już w kwietniu 2022 r. Dwie wykorzystane luki to CVE-2023-23397 I CVE-2023-24880. CVE-2023-23397 to atak z podwyższonym poziomem uprawnień, który umożliwia tworzenie specjalnych wiadomości e-mail, które mogą zmusić urządzenie docelowe do łączenia się ze zdalnymi adresami URL i przesyłania skrótu Net-NTLMv2 konta Windows. CVE-2023-24880 to luka w zabezpieczeniach Windows SmartScreen, którą można wykorzystać do tworzenia plików wykonywalnych, które omijają ostrzeżenie zabezpieczeń Windows Mark of the Web.

Microsoft oświadcza, co następuje dla CVE-2023-23397:

„CVE-2023-23397 to krytyczna luka EoP w programie Microsoft Outlook, która jest wyzwalana, gdy osoba atakująca wysyła wiadomość z rozszerzoną właściwością MAPI ze ścieżką UNC do udziału SMB (TCP 445) na serwerze kontrolowanym przez cyberprzestępcę. Żaden użytkownik wymagana jest interakcja. Połączenie ze zdalnym serwerem SMB wysyła wiadomość negocjacyjną NTLM użytkownika, którą osoba atakująca może następnie przekazać w celu uwierzytelnienia w innych systemach obsługujących uwierzytelnianie NTLM. Zewnętrzni osoby atakujące mogą wysyłać specjalnie spreparowane wiadomości e-mail, które spowodują połączenie ofiary z zewnętrzna lokalizacja UNC kontrolowana przez atakujących. Spowoduje to wyciek hash Net-NTLMv2 ofiary do atakującego, który może następnie przekazać to do innej usługi i uwierzytelnić się jako ofiara.

CVE-2023-23397 został początkowo oflagowany przez CERT-UA (Computer Emergency Response Team of Ukraine) i ujawniony przez CERT-UA, Microsoft Incident i Microsoft Threat Intelligence. W ujawnieniu ten ostatni stwierdza:

„Microsoft Threat Intelligence ocenia, że ​​cyberprzestępca z Rosji wykorzystał exploit załatany w CVE-2023-23397 w ukierunkowanych atakach na ograniczoną liczbę organizacji w sektorach rządowym, transportowym, energetycznym i wojskowym w Europie”.

Raport stwierdza również, że luka dotyczy wszystkich wersji programu Microsoft Outlook dla systemu Windows, jednak nie ma wpływu na programy Outlook dla komputerów Mac, iOS, Android ani Outlook w sieci Web, ponieważ usługi online nie wykorzystują uwierzytelniania NTLM. Microsoftu wydał scenariusz która pozwala organizacjom sprawdzić, czy padły celem ataku.

W odniesieniu do CVE-2023-24880 badacze Benoît Sevens i Vlad Stolyarov z Google Threat Analysis Group oraz Microsoft udostępniają:

„Kiedy pobierasz plik z Internetu, system Windows dodaje identyfikator strefy lub znak sieci Web (MOTW) jako strumień NTFS do pliku. Tak więc po uruchomieniu pliku Windows SmartScreen sprawdza, czy istnieje identyfikator strefy Dane alternatywne Strumień (ADS) dołączony do pliku Jeśli ADS wskazuje ZoneId=3, co oznacza, że ​​plik został pobrany z Internetu, SmartScreen sprawdza reputację.

Osoby atakujące dostarczają pliki MSI podpisane nieprawidłową, ale specjalnie spreparowaną sygnaturą Authenticode. Zniekształcony podpis powoduje, że SmartScreen zwraca błąd, który powoduje pominięcie okna dialogowego ostrzeżenia bezpieczeństwa wyświetlanego użytkownikom, gdy niezaufany plik zawiera Mark-of-the-Web (MotW), który wskazuje, że potencjalnie złośliwy plik został pobrany z Internetu. TAG zaobserwował ponad 100 000 pobrań złośliwych plików MSI od stycznia 2023 r., z czego ponad 80% było pobieranych przez użytkowników w Europie – co jest zauważalną rozbieżnością w stosunku do typowych ataków Magnibera, które zwykle koncentrują się na Korei Południowej i Tajwanie”.

Pełny szczegółowy raport ujawnionych poprawek bezpieczeństwa na marzec 2023 r dostępne do przeglądania tutaj. Nie jest to do końca lekka lektura.



Source link

Advertisment

Więcej

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Advertisment

Podobne

Advertisment

Najnowsze

YMTC twierdzi, że 3D QLC NAND oferuje wytrzymałość porównywalną z 3D TLC NAND

Jak podaje ITHome, firma twierdzi, że chipy flash YMTC X3-6070 3D QLC NAND oferują wytrzymałość porównywalną z chipami flash 3D TLC NAND oferowanych...

Praktyczne: jak korzystać z SharePlay w CarPlay z Apple Music

Jedna z dużych zmian w iOS 17 dla CarPlay użytkowników jest dodanie obsługi SharePlay dla Apple Music. Dzięki tej funkcji każda osoba...

Rozdanie TechPowerUp-Arctic: nie przegap szansy na wygranie kombinacji Coolers+Fan+TIM

Jeśli przegapiłeś, rozdanie TechPowerUp x Arctic trwa od 22 marca. Aż sześciu szczęśliwych zwycięzców może otrzymać kombinacje chłodnic procesora Arctic, wentylatorów obudowych i...
Advertisment