Firma Microsoft załatała łącznie 89 typowych luk i zagrożeń (CVE) w najnowszej aktualizacji we wtorek, która pojawiła się 9 marca, w tym 14 błędów ocenionych jako krytyczne – ale ostatnia runda aktualizacji jest przyćmiona przez rozwijający się kryzys około czterech CVE ujawnionych w zeszłym tygodniu w pozapasmowej łatce dla Microsoft Exchange Server.
W obecnej sytuacji pojawiło się mnóstwo dyrektyw awaryjnych wydanych przez krajowe agencje bezpieczeństwa na całym świecie, pośród doniesień, że ponad 100 000 organizacji mogło zostać zagrożonych. Według telemetrii zebranej przez Oddział w Palo Alto Networks 42 zespół, liczba wrażliwych serwerów wynosi 33 000 w USA, 21 000 w Niemczech, 7 900 w Wielkiej Brytanii, 5 100 we Francji i 4 600 we Włoszech.
Amerykańska agencja ds. Bezpieczeństwa cybernetycznego i infrastruktury (CISA) – która już nakazała organom rządowym USA łatanie ich systemów – stwierdziła, że stwierdziła, że eksploatacja lokalnych produktów Exchange stanowi „niedopuszczalne ryzyko”.
„CISA opublikowała plik Usuwanie luk w Microsoft Exchange strona internetowa, która usilnie wzywa wszystkie organizacje do natychmiastowego usunięcia ostatnich luk w zabezpieczeniach produktu Microsoft Exchange Server ”, napisano w niedawno zaktualizowanym oświadczeniu.
„Ponieważ wykorzystywanie tych luk jest powszechne i bezkrytyczne, CISA zdecydowanie zaleca organizacjom przestrzeganie wskazówek przedstawionych na stronie internetowej. Wytyczne zawierają konkretne kroki zarówno dla liderów, jak i pracowników ds. Bezpieczeństwa IT i mają zastosowanie do organizacji każdej wielkości we wszystkich sektorach ”.
Ofiary kompromisów wynikających z ujawnionych CVE już zaczęły się ujawniać, wśród nich Europejski Urząd Nadzoru Bankowego (EBA) i taka jest wyłaniająca się skala incydentu, który rzekomo tworzy rząd USA wyspecjalizowana grupa zadaniowa ds. sytuacji kryzysowych.
Tim Mackey, główny strateg ds. Bezpieczeństwa w Synopsys CyRC (Cybersecurity Research Center) powiedział, że chociaż zespoły IT i bezpieczeństwa byłyby bardziej przyzwyczajone do regularnych aktualizacji i cykli poprawek, ważne jest również, aby zauważyć, że obecny zestaw aktualizacji Exchange Server podkreśla potrzebę sprawdzenia oznak zagrożenia.
„Cztery luki w zabezpieczeniach serwera Exchange zawarte w aktualizacji łatki z tego miesiąca są aktywnie wykorzystywane, aby utworzyć część łańcucha cyber zabójstw” – powiedział. „Ten łańcuch zabójstw umożliwia atakującym pozostawienie powłok sieciowych, które można następnie wykorzystać do dalszego ataku.
„Ponieważ powłoka internetowa to nic innego jak fragment złośliwego kodu, który wygląda jak interfejs sieciowy i zachowuje się jak jeden, ukrycie złośliwego ruchu płynącego z jednego interfejsu internetowego jest łatwe do wykonania na serwerach produkcyjnych, takich jak Microsoft Exchange.
„Oczywiście, ponieważ atakujący określają zasady swojego zaangażowania, to, co robi ta powłoka sieciowa, zależy od nich. Oznacza to, że mogą próbować wszystkiego, od pobierania danych z serwera po wykorzystanie zasobów serwera do uruchamiania oprogramowania do wydobywania kryptowalut.
„W przypadku tych poprawek do serwera Exchange samo łatanie serwera Exchange nie jest wystarczające, tak jakby istniały oznaki naruszenia bezpieczeństwa, należy uruchomić swój plan reagowania na incydenty i przeprowadzić analizę kryminalistyczną, aby określić zakres wszelkich wyrządzonych szkód . ”
Najnowsza aktualizacja zawiera również poprawki obejmujące kilka nieobsługiwanych wersji programu Microsoft Exchange Server – rzadkie zdarzenie, które wskazuje zarówno na wagę, jak i zasięg ataków.
Oprócz problemów z giełdą, Nagrane Future’s Allan Liska podsumował niektóre z bardziej widocznych luk w zabezpieczeniach, na które CISO i ich zespoły powinni zwrócić uwagę w tym miesiącu.
„Począwszy od CVE-2021-27077, luki w zabezpieczeniach systemu Windows Win32k umożliwiającej podniesienie uprawnień, ta luka dotyczy systemów Windows 7-10 i Windows Server 2008-2019” – powiedział. „Jest to lokalna luka umożliwiająca eskalację uprawnień, która została zgłoszona jako pierwsza przez inicjatywę Trend Micro Zero Day w styczniu.
„Uważa się, że luka ta nie jest wykorzystywana w środowisku naturalnym, jednak czas między początkowym ujawnieniem a opublikowaniem poprawki powinien być powodem do niepokoju, ponieważ mógł on dać złośliwym zagrożeniom możliwość odkrycia luki i jej wykorzystania. Podobna luka, również odkryta przez Zero Day Initiative i zgłoszona w zeszłym roku, CVE-2020-0792, nie była szeroko wykorzystywana.
„Inną luką zero-day załataną w tym miesiącu jest CVE-2021-26411. Jest to luka w zabezpieczeniach powodująca uszkodzenie pamięci w programie Internet Explorer, która jest obecnie wykorzystywana w środowisku naturalnym, w szczególności przeciwko celom z Korei Południowej. Jeśli Twoja organizacja nadal korzysta z przeglądarki Microsoft Internet Explorer, powinno to być priorytetem w przypadku aktualizacji ”.
Liska zwróciła również uwagę na sześć błędów w Microsoft DNS – trwający trend – które są szczególnie godne uwagi. Są to CVE 2021-26877, -26893, -26894, -26896, -26895 -26896 i -27063. Spośród nich, powiedział, od -26877 i -26893 do -26895 powinny mieć priorytet, ponieważ są to luki w zabezpieczeniach zdalnego wykonania kodu (RCE) wpływające na DNS w systemie Windows Server 2008 do 2016, chociaż są oceniane tylko jako ważne, co może odzwierciedlać niektóre trudności w ich eksploatacji. Pozostałe dwa CVE wymienione powyżej to luki w zabezpieczeniach typu „odmowa usługi” wpływające na serwery DNS w systemie Windows od 2008 do 2019 r., Które również są oceniane jako ważne.
Dodał: „Wreszcie istnieje luka umożliwiająca podniesienie uprawnień w sterowniku DirectX w systemie Windows 10 i Windows Server 2019. Ta luka, CVE-2021-24095, może umożliwić osobie atakującej uzyskanie uprzywilejowanego dostępu do systemu, w którym już są obecne. Chociaż Microsoft ocenia, że „wykorzystanie luki jest bardziej prawdopodobne”, wydaje się, że DirectX wypadł z łask w ostatnich latach. Istnieje niewiele dowodów na to, że ostatnie luki w DirectX były szeroko wykorzystywane w środowisku naturalnym. ”