Microsoft ujawnił potencjalnie poważne zdalne wykonanie kodu (RCE) dnia zerowego, które jest aktywnie wykorzystywane – przez grupę mającą rzekome powiązania z rosyjskimi służbami wywiadowczymi – wśród ponad 100 innych luk w zabezpieczeniach Lipcowa aktualizacja z wtorkuale firma nie wydała jeszcze dla niego rzeczywistej łatki.
Chociaż nie została uznana za krytyczną lukę, wykorzystanie luki przez grupę Microsoft śledzi jako Storm-0978, znany również jako RomCom od złośliwego oprogramowania typu backdoorwydaje się, że skłonił zespoły bezpieczeństwa Redmond do podjęcia działań zapobiegawczych.
Podatność, o której mowa, jest śledzona jako CVE-2023-36884. Dotyczy łącznie 41 produktów, w tym wielu wersji Windows, Windows Server i Office, i może być z powodzeniem wykorzystany przy użyciu specjalnie spreparowanego dokumentu Word, który umożliwiłby nieautoryzowanemu podmiotowi uzyskanie możliwości RCE w kontekście ofiary, Jeśli ofiarę można przekonać do otwarcia szkodliwego pliku.
Microsoft powiedział: „Po zakończeniu tego dochodzenia Microsoft podejmie odpowiednie działania, aby pomóc chronić naszych klientów. Może to obejmować dostarczanie aktualizacji zabezpieczeń w ramach naszego comiesięcznego procesu wydawania lub dostarczanie aktualizacji zabezpieczeń poza cyklem, w zależności od potrzeb klienta”.
Wiadomo, że Storm-0978 przeprowadzał oportunistyczne, motywowane finansowo ataki ransomware przy użyciu podziemnej skrytki i operacje polegające wyłącznie na wymuszeniach, a także ukierunkowane operacje zbierania danych uwierzytelniających, co sugeruje, że działa w celu wspierania celów rosyjskiego wywiadu.
Uderzył w wiele celów rządowych i wojskowych, z wieloma na Ukrainie, a także w organizacje w Europie i Ameryce Północnej. Jego obecne przynęty są w dużej mierze związane z ukraińskimi sprawami politycznymi, w szczególności z próbami przystąpienia Kijowa do sojuszu NATO.
Microsoft opublikował listę środków zaradczych dla zespołów ds. bezpieczeństwa, aby zmniejszyć potencjalny wpływ Storm-0978. W szczególności zaleca się użycie CVE-2023-36884 of Zablokuj wszystkim aplikacjom pakietu Office możliwość tworzenia procesów podrzędnych reguły redukcji powierzchni ataku lub, jeśli nie można tego zrobić, ustawić klucz rejestru FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION, aby uniknąć wykorzystania, chociaż może to spowodować pewne problemy z funkcjonalnością. Należy pamiętać, że użytkownicy Microsoft Defender dla Office 365 są teraz chronieni przed złośliwymi załącznikami wykorzystującymi błąd.
Szybki7 szef ds. zarządzania lukami w zabezpieczeniach i ryzykiem, Adam Barnett, powiedział, że wielu obrońców byłoby zrozumiałe, że brak natychmiastowej łatki byłby niespokojny.
„Chociaż jest możliwe, że łatka zostanie wydana w ramach Patch Tuesday w przyszłym miesiącu, pakiet Microsoft Office jest wdrażany niemal wszędzie, a ten aktor stwarza fale; administratorzy powinni być gotowi na pozacykliczną aktualizację zabezpieczeń dla luki CVE-2023-26884” — powiedział Barnett.
Pozostałe dni zerowe w lipcowej aktualizacji obejmują łącznie 130 różnych luk, które zostały wyeliminowane w tym miesiącu, co stanowi znacznie większą liczbę niż ostatnio, ale według Dustina Childsa z Zero Day Initiative, niekoniecznie niezwykłe, biorąc pod uwagę shenanigany, które prawdopodobnie będą miały miejsce podczas corocznego Czarny kapelusz USA konferencji, która została już za niecały miesiąc.
Dni zerowe to, w kolejności numerów CVE:
- CVE-2023-32046luka umożliwiająca podniesienie uprawnień (EoP) w Windows MSHTML Platform;
- CVE-2023-32049luka umożliwiająca obejście funkcji zabezpieczeń (SFB) w Windows SmartScreen;
- CVE-2023-35311luka SFB w programie Microsoft Outlook;
- CVE-2023-36874luka EoP w usłudze raportowania błędów systemu Windows.
Microsoft wydał również poradę.
Ta kampania – w której atakujący uzyskiwali uprawnienia administratora w zaatakowanych systemach przed użyciem sterowników – może być odczytywana jako szósty dzień zerowy, w zależności od tego, czyją definicję terminu akceptujesz.
Firma Microsoft bada ten problem, odkąd została o nim poinformowana przez Sofos naukowcy w lutym, z innymi raportami z Trend Micro I Cisco Talos również asystując.
Okazało się, że kilka kont programistów w Microsoft Partner Center (MPC) przesyłało złośliwe sterowniki w celu uzyskania podpisu Microsoft. Wszystkie te konta programistów i konta partnerów sprzedawców, których to dotyczy, zostały zawieszone.
Wydano aktualizacje, które nie ufają sterownikom i certyfikatom śpiewania sterowników dla plików, których dotyczy problem, a do usługi Microsoft Defender dodano wykrywanie blokowania, aby lepiej chronić klientów.
Christopher Budd Sophos X-Ops, dyrektor ds. badań nad zagrożeniami, powiedział: „Od Październik ubiegłego roku zauważyliśmy niepokojący wzrost liczby cyberataków wykorzystujących złośliwe, podpisane sterowniki do przeprowadzania różnych cyberataków, w tym ransomware. Sądziliśmy, że osoby atakujące będą nadal wykorzystywać ten wektor ataku i rzeczywiście tak się stało sprawa.
„Ponieważ sterowniki często komunikują się z „rdzeniem” systemu operacyjnego i ładują się przed oprogramowaniem zabezpieczającym, gdy są nadużywane, mogą być szczególnie skuteczne w wyłączaniu zabezpieczeń — zwłaszcza jeśli są podpisane przez zaufane władze. Wiele wykrytych przez nas złośliwych sterowników zostało zaprojektowanych specjalnie do atakowania i eliminowania EDR [Endpoint Detection and Response] produkty, narażając systemy, których dotyczy problem, na szereg złośliwych działań” — powiedział Budd.
„Uzyskanie sygnatury złośliwego sterownika jest trudne, dlatego technika ta jest wykorzystywana przede wszystkim przez zaawansowane ugrupowania cyberprzestępcze w atakach ukierunkowanych. Co więcej, te konkretne sterowniki nie są specyficzne dla dostawcy; celują w szeroką gamę oprogramowania EDR. Dlatego szersza społeczność zajmująca się bezpieczeństwem musi być świadoma, aby w razie potrzeby mogła wdrożyć dodatkowe zabezpieczenia. Ważne jest, aby firmy wdrażały łatki wydane dzisiaj przez Microsoft” – powiedział.
