Zero-day w Hyper-V wyróżnia się w pracowitym wtorkowym wydaniu Patch Tuesday


Zespoły ds. bezpieczeństwa będą miały przed sobą pracowite dni po tym, jak w lipcowym wydaniu poprawek Microsoft załatał blisko 140 nowych powszechnych luk w zabezpieczeniach i zagrożeń (CVE). Wtorek poprawek aktualizacja, obejmująca cztery luki typu zero-day – jedną z nich była aktualizacja opracowana przez firmę zewnętrzną, giganta w dziedzinie procesorów, ARM.

Cztery dni zerowe są wymienione (w kolejności numerycznej) w następujący sposób:

  • CVE-2024-35264, luka umożliwiająca zdalne wykonanie kodu (RCE) w .NET i Visual Studio. Ta luka ma wynik CVSS 8,1, ale w przeciwieństwie do tego, podczas gdy krąży exploit proof-of-concept, nie wydaje się, aby został jeszcze wykorzystany;
  • CVE-2024-37895, luka w zabezpieczeniach umożliwiająca ujawnienie informacji, która dotyczy ARM. Ten błąd ma wynik CVSS 5,9, ale mimo że został ujawniony publicznie, nie jest jeszcze wykorzystywany;
  • CVE-2024-38080, luka w zabezpieczeniach zwiększająca uprawnienia (EoP) w systemie Windows Hyper-V. Ta luka ma wynik CVSS 7,8 i wiadomo, że została wykorzystana w środowisku naturalnym, chociaż nie opublikowano żadnego publicznego exploita;
  • CVE-2024-38112, podatność na podszywanie się w platformie Windows MSHTML. Ta podatność ma wynik CVSS 7,5. Nie ma publicznego exploita, ale jest on wykorzystywany przez nieznanych jeszcze przeciwników.

Skupiając się na luce w programie Hyper-V, Mike Walters, specjalista ds. zarządzania poprawkami Akcja 1 powiedział, że stanowi „znaczne ryzyko” dla systemów wykorzystujących Hyper-V – wydaje się stosunkowo proste do wykorzystania, a atakujący może z łatwością uzyskać prawa administratora, jeśli uzyskał początkowy dostęp lokalny, na przykład za pośrednictwem naruszone konto użytkownika w maszynie wirtualnej. Ostatecznie wykorzystuje problem przepełnienia liczb całkowitych w Hyper-V.

„CVE-2024-38080 … wskazuje na wyraźną drogę, którą atakujący mogą przejąć, aby uzyskać wyższe uprawnienia, narażając na szwank poufność, integralność i dostępność wielu zwirtualizowanych systemów” – powiedział Walters.

„W połączeniu z innymi lukami, takimi jak błędy umożliwiające zdalne wykonanie kodu lub ataki polegające na wykorzystaniu luk w dostępie początkowym, np. phishing lub zestawy narzędzi do eksploitów, wektor ataku staje się bardziej wyrafinowany i szkodliwy.

„Przyjęcie proaktywnego podejścia do kwestii bezpieczeństwa, obejmującego terminowe instalowanie poprawek i ścisłe przestrzeganie solidnych praktyk bezpieczeństwa, ma kluczowe znaczenie dla skutecznego ograniczania tych zagrożeń” – dodał.

Reklama

Saeed Abbasi, kierownik ds. produktów, podatność na ataki w Jednostka Badawcza Zagrożeń Qualys (TRU) dodało: „Skutki są ogromne, ponieważ ta luka może przyznać atakującym najwyższy poziom dostępu do systemu, co może umożliwić wdrażanie oprogramowania ransomware i innych złośliwych ataków.

„Chociaż Microsoft nie ujawnił zakresu aktywnej eksploatacji, charakter luki w zabezpieczeniach sprawia, że ​​jest ona głównym celem atakujących. Ze względu na potencjał głębokiej kontroli systemu, ta luka w zabezpieczeniach jest gotowa na wzmożone próby eksploatacji. Połączenie niskiej złożoności i braku wymogu interakcji użytkownika oznacza, że ​​prawdopodobnie zostanie ona szybko włączona do zestawów exploitów, co doprowadzi do powszechnej eksploatacji.

Abbasi dodał: „Co więcej, możliwość eskalacji uprawnień sprawia, że ​​ta podatność jest szczególnie szkodliwa w przypadku ataków ransomware, ponieważ umożliwia atakującym wyłączenie środków bezpieczeństwa i skuteczniejsze rozprzestrzenianie się w sieciach, co znacznie zwiększa skutki takich ataków”.

Tymczasem Rob Reeves, główny inżynier ds. cyberbezpieczeństwa w Laboratoria immersyjneuruchomił regułę dotyczącą luki w zabezpieczeniach platformy Windows MSHTLM. „Szczegóły od Microsoftu są skąpe i opisane jedynie jako luka w zabezpieczeniach typu „spoofing”, która wymaga inżynierii społecznej, aby przekonać użytkownika do wykonania dostarczonego pliku” — powiedział.

„Ocenia się, że luka prawdopodobnie może doprowadzić do zdalnego wykonania kodu, ze względu na powiązanie z CWE-668: Exposure of Resource to Wrong Sphere, a w przypadku udanej eksploatacji prowadzi do całkowitego naruszenia poufności, integralności i dostępności. Wynik CVSS wynoszący zaledwie 7,5, ze względu na trudność w eksploatacji, prawdopodobnie wynika jedynie ze złożoności samego ataku.

Reeves powiedział, że bez dodatkowych szczegółów od Microsoftu lub pierwotnego reportera – badacza z Check Point – trudno jest udzielić konkretnych wskazówek dotyczących kolejnych kroków, ale biorąc pod uwagę, że problem dotyczy wszystkich hostów z systemem Windows Server 2008 R2 i nowszym – w tym klientów – i że obserwuje się aktywne wykorzystanie luki, należy bezzwłocznie nadać mu priorytet i wdrożyć łatkę.

Oprócz luk typu zero-day aktualizacja z lipca 2024 r. wymienia również pięć krytycznych luk, wszystkie typu RCE, którym przyznano oceny CVSS od 7,2 do 9,8. Trzy z nich dotyczą usługi licencjonowania usług pulpitu zdalnego systemu Windows, jedna – biblioteki kodeków systemu Microsoft Windows, a piąta – serwera Microsoft SharePoint Server.

Gracze, uważajcie!

Wreszcie, uwagę przyciągnęła kolejna luka w zabezpieczeniach RCE w adapterze bezprzewodowym Xbox, która trafnie pokazuje, jak ważne jest zabezpieczanie urządzeń i sieci konsumenckich. Może to być równie przydatny element łańcucha ataków cyberprzestępców, jak jakakolwiek luka w zabezpieczeniach serwera w chmurze mająca wpływ na przedsiębiorstwo.

Luka oznaczona numerem CVE-2024-38078 staje się możliwa do wykorzystania, jeśli atakujący znajduje się w bliskiej odległości od systemu docelowego i zgromadzi szczegółowe informacje na temat środowiska docelowego.

Choć złożoność ta zmniejsza prawdopodobieństwo wykorzystania luki, gdyby jednak do niej doszło, atakujący mógłby wysłać złośliwy pakiet sieciowy do sąsiedniego systemu wykorzystującego kartę i stamtąd uzyskać RCE.

„W przypadku pracy zdalnej zabezpieczenie wszystkich urządzeń, w tym urządzeń IoT, takich jak systemy alarmowe i inteligentne telewizory, jest niezbędne. Atakujący mogą wykorzystać tę lukę w zabezpieczeniach, aby uzyskać nieautoryzowany dostęp i narazić poufne informacje. Odległość, z jakiej sygnały Wi-Fi mogą zostać wykryte, przechwycone i nadane, jest powszechnie niedoceniana, co jeszcze bardziej zwiększa ryzyko tej luki w zabezpieczeniach” — powiedział Ryan Braunstein, Automox szef zespołu operacji bezpieczeństwa.

Aby ograniczyć te zagrożenia, należy regularnie aktualizować wszystkie urządzenia i stosować silne środki bezpieczeństwa sieci, takie jak solidne hasła i szyfrowanie.

„Edukacja wszystkich pracowników, znajomych i członków rodziny na temat znaczenia aktualizowania i aktualizacji urządzeń może nie sprawić, że staniesz się popularny na imprezach, ale na pewno zmniejszy liczbę telefonów o 2 w nocy” – dodał Braunstein.



Source link

Advertisment

Więcej

Advertisment

Podobne

Advertisment

Najnowsze

Rozwój procesorów graficznych AI nowej generacji „Rubin” firmy NVIDIA 6 miesięcy przed terminem: raport

Architektura „Rubin” jest następcą obecnego „Blackwell” firmy NVIDIA, który obsługuje firmowe procesory graficzne AI, a także nadchodzące procesory graficzne GeForce RTX z serii...

Forza Motorsport otrzyma globalne oświetlenie oparte na technologii Ray Tracing w aktualizacji wizualnej z 9 grudnia

Forza Motorsport, Filmowa symulacja wyścigów na żywo od Xbox Studios na rok 2023otrzyma ładną aktualizację wizualną w nadchodzącej aktualizacji (zatytułowanej Aktualizacja 15), wkrótce...

Intel na targach CES 2025: Pionierskie innowacje oparte na sztucznej inteligencji w pracy i mobilności

Sztuczna inteligencja zasadniczo zmienia technologię — od komputerów PC po urządzenia brzegowe i chmurę — ​​oraz na nowo definiuje sposób, w jaki pracujemy,...
Advertisment