Η Microsoft wydał aktualizacje zabezpieczeń na kwiecień 2024 r., aby naprawić rekord 149 usterek , z których dwa są aktywnie eksploatowane na wolności.
Spośród 149 defektów trzy mają ocenę krytyczną, 142 – ważną, trzy – umiarkowaną, a jedna – niską. Aktualizacja nie wchodzi w grę 21 luk z jakimi borykała się firma w przeglądarce Edge opartej na Chromium po wydaniu poprawki poprawek z marca, wtorku 2024 .
Aktywnie wykorzystywane są dwie wady:
- CVE-2024-26234 (Wynik CVSS: 6,7) – Luka w zabezpieczeniach sterownika proxy umożliwiająca fałszowanie
- CVE-2024-29988 (Wynik CVSS: 8,8) – Funkcje zabezpieczeń SmartScreen Prompt omijają lukę w zabezpieczeniach
Chociaż poradnik firmy Microsoft nie zawiera informacji na temat CVE-2024-26234, firma cybernetycznabezpieczeństwoFirma Sophos podała, że w grudniu 2023 r. odkryła złośliwy plik wykonywalny („Catalog.exe” lub „Usługa klienta uwierzytelniania katalogu”), który jest podpisany od ważnego wydawcy kompatybilności sprzętowej Microsoft Windows ( WHCP ) certyfikat.
Analiza Authenticode pliku binarnego ujawniło pierwotnego wydawcę składającego wniosek firmie Hainan YouHu Technology Co. Ltd, który jest także wydawcą innego narzędzia o nazwie LaiXi Android Screen Mirroring.
To ostatnie opisano jako „oprogramowanie marketingowe… [które] może połączyć setki telefonów komórkowych i sterować nimi partiami oraz automatyzować zadania, takie jak obserwowanie grupowe, lajkowanie i komentowanie”.
W ramach rzekomej usługi uwierzytelniania znajduje się komponent o nazwie 3 pełnomocnik który ma na celu monitorowanie i przechwytywanie ruchu sieciowego w zainfekowanym systemie, skutecznie działając jako backdoor.
„Nie mamy dowodów sugerujących, że programiści LaiXi celowo zintegrowali złośliwy plik ze swoim produktem lub że podmiot zagrażający przeprowadził atak na łańcuch dostaw, aby wprowadzić go do procesu tworzenia/kompilacji aplikacji LaiXi” – powiedział Badacz Sophos, Andreas Klopsch. .
Firma zajmująca się cyberbezpieczeństwem stwierdziła również, że do 5 stycznia 2023 r. odkryła kilka innych wariantów backdoora, co wskazuje, że kampania trwa co najmniej od tego czasu. Od tego czasu firma Microsoft dodała odpowiednie pliki do swojej listy wycofanych produktów.
„Aby wykorzystać tę lukę umożliwiającą obejście tej funkcji zabezpieczeń, osoba atakująca musiałaby przekonać użytkownika do uruchomienia szkodliwych plików za pomocą programu uruchamiającego, który żąda, aby interfejs użytkownika nie był wyświetlany” – stwierdził Microsoft.
„W scenariuszu ataku za pośrednictwem poczty elektronicznej lub komunikatora internetowego osoba atakująca może wysłać docelowemu użytkownikowi specjalnie spreparowany plik zaprojektowany w celu wykorzystania luki umożliwiającej zdalne wykonanie kodu”.
Inicjatywa Dnia Zero ujawnił że istnieją dowody na wykorzystanie luki w środowisku naturalnym, mimo że Microsoft oznaczył ją oceną „Najbardziej prawdopodobne wykorzystanie”.
Kolejną ważną kwestią jest podatność na zagrożenia CVE-2024-29990 (wynik CVSS: 9.0), luka w podniesieniu uprawnień wpływająca na poufne kontenery usługi Microsoft Azure Kubernetes, która może zostać wykorzystana przez nieuwierzytelnionych atakujących w celu kradzieży danych uwierzytelniających.
„Osoba atakująca może uzyskać dostęp do niezaufanego węzła AKS Kubernetes i poufnego kontenera AKS, aby przejąć poufnych gości i kontenery poza stosem sieciowym, z którym mogą być powiązani” – powiedział Redmond.
Ogólnie rzecz biorąc, wydanie to wyróżnia się rozwiązaniem problemów związanych ze zdalnym wykonaniem kodu 68, 31 eskalacją uprawnień, 26 obejściem funkcji bezpieczeństwa i sześcioma błędami typu „odmowa usługi” (DoS). Co ciekawe, 24 z 26 błędów obejścia zabezpieczeń jest związanych z Bezpiecznym rozruchem.
„Chociaż nie ma żadnej z tych luk Bezpieczne Boot omawiane w tym miesiącu nie zostały wykorzystane w środowisku naturalnym, służą one jako przypomnienie, że luki w Secure Boot nadal istnieją i w przyszłości możemy zaobserwować więcej szkodliwych działań związanych z Secure Boot” – powiedział Satnam Narang, starszy inżynier ds. badań w Tenable oświadczenie.
Objawienie następuje tak, jak Microsoft spotkać się z krytyką na temat swoich praktyk w zakresie bezpieczeństwa, w oparciu o niedawny raport Komisji Rewizyjnej Cyberbezpieczeństwo(CSRB) potępia firmę, że nie zrobiła wystarczająco dużo, aby zapobiec kampanii cyberszpiegowskiej zorganizowanej przez chińskie ugrupowanie zagrażające identyfikowane jako Storm. -0558 w zeszłym roku.
Wynika to również z decyzji firmy opublikować dane o pierwotnej przyczynie pod kątem luk w zabezpieczeniach przy użyciu standardu branżowego Common Weakness Enumeration (CWE). Warto jednak zaznaczyć, że zmiany obowiązują dopiero od komunikatów opublikowanych od marca 2024 r.
„Dodanie ocen CWE do poradników bezpieczeństwa Microsoftu pomaga zidentyfikować ogólną przyczynę źródłową luki” – powiedział Adam Barnett, główny inżynier oprogramowania w Rapid7, w oświadczeniu udostępnionym The Hacker News.
„Program CWE zaktualizował niedawno swoje wytyczne dotyczące mapowanie CVE na pierwotną przyczynę CWE . Analiza trendów CWE może pomóc programistom w ograniczeniu przyszłych zdarzeń poprzez ulepszone przepływy pracy i testowanie cyklu życia oprogramowania (SDLC), a także pomóc obrońcom zrozumieć, gdzie skierować wysiłki w zakresie dogłębnej obrony i usprawnienia rozwoju w celu uzyskania lepszego zwrotu z inwestycji”.
W powiązanym opracowaniu firma Varonis zajmująca się bezpieczeństwem cybernetycznym ujawniła dwie metody, które napastnicy mogą zastosować w celu ominięcia dzienników audytu i uniknięcia wyzwalania zdarzeń pobierania podczas eksportowania plików z SharePoint.
Pierwsze podejście wykorzystuje funkcję „Otwórz w aplikacji” programu SharePoint do uzyskiwania dostępu do plików i ich pobierania, podczas gdy drugie wykorzystuje agenta użytkownika dla Microsoft SkyDriveSync do pobierania plików lub nawet całych witryn, błędnie klasyfikując takie zdarzenia jako synchronizację plików, a nie pobieranie.
„Techniki te mogą ominąć zasady wykrywania i egzekwowania stosowane w tradycyjnych narzędziach, takich jak brokerzy bezpieczeństwa dostępu do chmury, zapobieganie utracie danych i SIEM, ukrywając pobieranie jako mniej podejrzane zdarzenia dostępu i synchronizacji” powiedział Erica Saragi.
Poprawki oprogramowania innych firm
Oprócz firmy Microsoft w ostatnich tygodniach inni dostawcy wypuścili aktualizacje zabezpieczeń, które eliminują kilka luk w zabezpieczeniach, w tym:
- Adobe
- AMD
- Android
- Bezpieczeństwo Apache XML dla C++
- Aruba Networks
- Atos
- Bosch
- Cisco
- D-Link
- kotlina
- Drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Chrome
- Google Cloud
- Google Pixel
- Hikvision
- Energia Hitachi
- HP
- Firma HPE
- HTTP / 2
- IBM
- Ivanta
- Jenkins
- Lenovo
- webOS firmy LG
- Dystrybucje systemu Linux Debian, Oracle Linux, Red Hat, SUSE, Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR i Thunderbird
- NETGEAR
- NVIDIA
- Qualcomm
- Rockwell Automation
- Rdza
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- VMware
- WordPress
- Powiększenie
