Zaledwie kilka tygodni po ujawnieniu seria krytycznych dni zerowych w Microsoft Exchange Server wywołał konsternację w społeczności cybernetycznej, Microsoft załatał cztery nowe luki w tym samym produkcie Aktualizacja we wtorek z kwietnia 2021 r, po ostrzeżeniu ich przez Amerykańską Agencję Bezpieczeństwa Narodowego (NSA).
Cztery omawiane luki mają wpływ na Exchange Server 2013, 2016 i 2019 i zostały im przypisane kody CVE 2021-28480, -28481, -28482 i -28483. Ich wspólny system punktacji podatności (CVSS) waha się od 8,8 do 9,8, a trzy z nich są ocenione jako krytyczne, dając wynik CVSS ponad dziewięć. Dwa z nich, -28480 i -28481, to uwierzytelnianie wstępne, co oznacza, że osoba atakująca nie musi uwierzytelniać się na wrażliwym serwerze Exchange, aby je wykorzystać.
W przeciwieństwie do luk w zabezpieczeniach ProxyLogon, Microsoft nie wierzy, że zostały one jeszcze wykorzystane na wolności, ale jeśli zostaną skutecznie wykorzystane, umożliwiłyby zdalne wykonanie kodu (RCE), dając złośliwym podmiotom swobodę działania w swoich docelowych sieciach.
W poście na blogu, Microsoft powiedział, że ostatnie wydarzenia pokazały, że higiena bezpieczeństwa i zarządzanie poprawkami są ważniejsze niż kiedykolwiek, więc dla użytkowników jego produktów kluczowe znaczenie miało zapewnienie, że są na bieżąco.
„Firma Microsoft jest zobowiązana do wspierania naszych klientów w tym zakresie i zachęcamy ich do dołożenia wszelkich starań, aby zaktualizować swoje oprogramowanie do najnowszej obsługiwanej wersji i zainstalować aktualizacje zabezpieczeń, jeśli automatyczne aktualizacje nie są jeszcze włączone, tak szybko, jak to możliwe, aby chronić się przed dzisiejszymi dynamiczny krajobraz zagrożeń ”- powiedział Redmond.
„Osoby atakujące często zmieniają swoje wysiłki w celu wykorzystania niedawno ujawnionych luk w zabezpieczeniach przed zainstalowaniem najnowszych aktualizacji lub poprawek, dlatego tak ważna jest migracja klientów do najnowszego obsługiwanego oprogramowania.
„Wydanie z tego miesiąca zawiera szereg krytycznych luk w zabezpieczeniach, którym zalecamy nadanie priorytetu, w tym aktualizacje chroniące przed nowymi lukami w lokalnych serwerach Exchange. Biorąc pod uwagę, że ostatnio przeciwnicy skupili się na Exchange, zalecamy klientom jak najszybsze zainstalowanie aktualizacji, aby zapewnić im ochronę przed tymi i innymi zagrożeniami. Klienci korzystający z Exchange Online są już chronieni i nie muszą podejmować żadnych działań ”.
Wielka Brytania Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) powiedział: „W ramach zaplanowanego na kwiecień cyklu aktualizacji firmy Microsoft, w Microsoft Exchange wyeliminowano szereg krytycznych luk w zabezpieczeniach. Nie mamy żadnych informacji, które sugerowałyby, że te luki są wykorzystywane w aktywnej eksploatacji. Jednak biorąc pod uwagę niedawne skupienie się na programie Exchange, zalecamy jak najszybsze instalowanie aktualizacji, ponieważ osoby atakujące mogą starać się stworzyć możliwości wykorzystania luk w zabezpieczeniach, które można by wykorzystać przeciwko systemom, zanim aktualizacje zostaną zastosowane ”.
Również amerykańska Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) wydał zarządzenie awaryjne wzywając organizacje do stosowania kwietniowych łatek i wydał nowy kierunek wymóg natychmiastowej aktualizacji przez organy federalne USA. Zdecydowanie zachęca się również organizacje sektora prywatnego do uczynienia tego samego.
CVE znajduje się w pierwszej setce po raz pierwszy w 2021 r
Pełna aktualizacja we wtorek dotyczy łącznie 108 CVE, z czego 19 oceniono jako krytyczne. To pierwszy raz w 2021 roku, kiedy Microsoft załatał ponad 100 CVE na raz.
Chris Goettl, Ivanti’s starszy dyrektor ds. zarządzania produktem, powiedział: „W tym miesiącu usuwanych jest wiele luk w zabezpieczeniach. Dobra wiadomość jest taka, że większość z nich jest w systemie operacyjnym. Szybkie wyłączenie systemu operacyjnego zmniejszy znaczne ryzyko w tym miesiącu. Najważniejsze priorytety w tym miesiącu powinny obejmować system operacyjny Windows, Edge (Chromium) i Exchange Server. ”
Justin Knapp, starszy menedżer ds. Marketingu produktów w Automox, powiedział, że spodziewa się, że naszywka na zderzak będzie zwiastunem tego, co nadejdzie.
„Stanowi to ogólną tendencję wzrostową, która będzie się utrzymywać przez cały rok i będzie pilnie wiązać się z szybkością wprowadzania poprawek, aby organizacje nie narażały się niepotrzebnie, zwłaszcza biorąc pod uwagę zwiększone wykorzystanie znanych, przestarzałych luk w zabezpieczeniach” – powiedział.
„Ponieważ dramatyczne przejście do pracy zdalnej w 2020 r. Staje się stałym elementem w 2021 r., Warto również zwrócić uwagę na znaczenie stosowania środków, które mogą natychmiast rozpowszechniać nowo wydane aktualizacje zabezpieczeń w bardziej zdecentralizowanym, zróżnicowanym zestawie zasobów i środowisk”.
Oprócz luk w zabezpieczeniach serwera Exchange, Satnam Narang, inżynier badawczy, którego można by utrzymać wyróżnił CVE-2021-28310 jako jeden do obejrzenia. Jest to luka dnia zerowego umożliwiająca podniesienie uprawnień przez Win32K.
„Wykorzystanie tej luki dałoby atakującemu podwyższone uprawnienia w systemie, w którym występuje luka” – powiedział Narang. „Pozwoliłoby to atakującemu na wykonanie dowolnego kodu, utworzenie nowych kont z pełnymi uprawnieniami, dostęp i / lub usunięcie danych oraz zainstalowanie programów.
„Luki w zabezpieczeniach umożliwiających podniesienie uprawnień są wykorzystywane przez osoby atakujące po włamaniu po uzyskaniu dostępu do systemu w celu wykonania kodu w systemach docelowych z podwyższonymi uprawnieniami”.
Allan Liska, starszy architekt ds. Bezpieczeństwa w Nagrana przyszłość, dodał kilka innych ważnych informacji, które CISO mogą chcieć nadać priorytet w tym miesiącu.
„Istnieje kilka zdalnych wykonań kodu [RCE] luki w zabezpieczeniach produktów Microsoft Office udostępnionych również w tym miesiącu ”- powiedział. „CVE-2021-28454 i CVE-2021-28451 to luki RCE w programie Microsoft Excel, natomiast CVE-2021-28453 to luka RCE w programie Microsoft Word, a CVE-2021-28449 to luka w zabezpieczeniach RCE w pakiecie Microsoft Office. Wszystkie cztery luki są oznaczone przez firmę Microsoft jako ważne. Te luki mają wpływ na wszystkie wersje ich odpowiednich produktów, w tym Office 365.
„CVE-2021-28312 to jedna z publicznie ujawnionych luk w zabezpieczeniach. Jest to odmowa usługi [DoS] luka w systemie Windows NTFS. Ta luka dotyczy systemu Windows NTFS działającego w systemach Windows 10 i Windows Server 2019. Firma Microsoft ocenia tę lukę jako umiarkowaną.
„Inną publicznie ujawnioną luką w zabezpieczeniach jest CVE-2021-27091 – jest to luka umożliwiająca podniesienie uprawnień w programie RPC Endpoint Mapper. Firma Microsoft oznaczyła tę lukę jako ważną i ma ona wpływ na systemy Windows 7 oraz Windows Server 2008 i 2012. Chociaż luki RPC nie są zwykle powszechnie wykorzystywane w środowisku naturalnym, może to być interesująca kwestia, na którą należy uważać, ponieważ osoby atakujące często używają RPC do wykonywania kodu na zdalnych systemach . Ta luka umożliwiłaby osobie atakującej zdalne wykonanie kodu na wyższym poziomie uprzywilejowanym ”.