Η προγραμματισμένη ενημέρωση ασφαλείας του Patch Tuesday για τον Φεβρουάριο της Microsoft περιλαμβάνει διορθώσεις για δύο ευπάθειες ασφαλείας μηδενικής ημέρας υπό ενεργή επίθεση, καθώς και 71 άλλες ατέλειες σε ένα ευρύ φάσμα προϊόντων της.

Συνολικά, πέντε από τα τρωτά σημεία για τα οποία η Microsoft εξέδωσε μια ενημερωμένη έκδοση κώδικα του Φεβρουαρίου αξιολογήθηκαν ως κρίσιμα, 66 ως σημαντικά και δύο ως μέτρια.

Η Η ενημέρωση περιλαμβάνει ενημερώσεις κώδικα για Microsoft Office, Windows, Microsoft Exchange Server, το πρόγραμμα περιήγησης Edge που βασίζεται σε Chromium, το Azure Active Directory, το Microsoft Defender για Endpoint και το Skype για επιχειρήσεις. Ο Tenable εντόπισε 30 από τα 73 CVE ως ευπάθειες απομακρυσμένης εκτέλεσης κώδικα (RCE). 16 που επιτρέπει την κλιμάκωση των προνομίων· 10 ως συνδεδεμένα με σφάλματα πλαστογράφησης. εννέα που επιτρέπουν κατανεμημένες επιθέσεις άρνησης υπηρεσίας. πέντε ως ελαττώματα αποκάλυψης πληροφοριών· και τρία ως ζητήματα παράκαμψης ασφαλείας.

Νερό Η Hydra Exploits Zero-Days Targeting Financial Traders

Ένας ηθοποιός απειλών που ονομάζεται Water Hydra (γνωστός και ως Dark Casino) αξιοποιεί αυτήν τη στιγμή ένα από τα τρωτά σημεία zero-day — ένα Ευπάθεια παράκαμψης της δυνατότητας ασφαλείας αρχείων συντόμευσης Internet παρακολουθείται ως CVE-2024-21412 (CVSS 8.1) — σε μια κακόβουλη καμπάνια που στοχεύει οργανισμούς στον χρηματοπιστωτικό τομέα.

Ερευνητές στο Trend Micro - μεταξύ πολλών που ανακάλυψαν και ανέφεραν το ελάττωμα στη Microsoft - το περιέγραψαν ως συνδεδεμένο με μια παράκαμψη μιας ευπάθειας SmartScreen που είχε προηγουμένως διορθωθεί (CVE-2023-36025, CVSS 8.8) και επηρεάζει όλες τις υποστηριζόμενες εκδόσεις των Windows. Οι ηθοποιοί του Water Hydra χρησιμοποιούν το CVE-2024-21412 για να αποκτήσουν αρχική πρόσβαση σε συστήματα που ανήκουν σε χρηματοοικονομικούς εμπόρους και να τους αφήσουν τον Trojan απομακρυσμένης πρόσβασης DarkMe.

Για να εκμεταλλευτεί την ευπάθεια, ένας εισβολέας θα πρέπει πρώτα να παραδώσει ένα κακόβουλο αρχείο σε έναν στοχευμένο χρήστη και να τον κάνει να το ανοίξει, δήλωσε ο Saeed Abbasi, διευθυντής του ερευνητή ευπάθειας στην Qualys, σε σχολιασμό μέσω email. «Ο αντίκτυπος αυτής της ευπάθειας είναι βαθύς, διακυβεύοντας την ασφάλεια και υπονομεύοντας την εμπιστοσύνη σε προστατευτικούς μηχανισμούς όπως το SmartScreen», είπε ο Abbasi.

SmartScreen Bypass Zero-Day

Η άλλη ημέρα μηδέν που αποκάλυψε η Microsoft στην ενημέρωση ασφαλείας αυτού του μήνα επηρεάζει το Defender SmartScreen. Σύμφωνα με τη Microsoft, CVE-2024-21351 είναι ένα bug μέτριας σοβαρότητας που επιτρέπει σε έναν εισβολέα να παρακάμψει τις προστασίες SmartScreen και να εισάγει κώδικα σε αυτό για να αποκτήσει δυνητικά δυνατότητες απομακρυσμένης εκτέλεσης κώδικα. Μια επιτυχημένη εκμετάλλευση θα μπορούσε να οδηγήσει σε περιορισμένη έκθεση δεδομένων, προβλήματα διαθεσιμότητας συστημάτων ή και τα δύο, είπε η Microsoft. Δεν υπάρχουν διαθέσιμες λεπτομέρειες σχετικά με το ποιος ακριβώς μπορεί να εκμεταλλεύεται το σφάλμα και για ποιο σκοπό.

Σε προετοιμασμένα σχόλια για το Dark Reading, ο Mike Walters, πρόεδρος και συνιδρυτής του Action1, είπε ότι η ευπάθεια συνδέεται με τον τρόπο με τον οποίο το Mark of the Web της Microsoft (μια δυνατότητα αναγνώρισης μη αξιόπιστου περιεχομένου από το Διαδίκτυο) αλληλεπιδρά με τη λειτουργία SmartScreen. «Για αυτήν την ευπάθεια, ένας εισβολέας πρέπει να διανείμει ένα κακόβουλο αρχείο σε έναν χρήστη και να τον πείσει να το ανοίξει, επιτρέποντάς του να παρακάμψει τους ελέγχους SmartScreen και ενδεχομένως να θέσει σε κίνδυνο την ασφάλεια του συστήματος», είπε ο Walters.

Σφάλματα υψηλής προτεραιότητας

Μεταξύ των πέντε κρίσιμων σημείων ευπάθειας στην ενημέρωση του Φεβρουαρίου, είναι αυτό που απαιτεί προσοχή κατά προτεραιότητα CVE-2024-21410, μια ευπάθεια κλιμάκωσης προνομίων στον Exchange Server, αγαπημένος στόχος για τους εισβολείς. Ένας εισβολέας θα μπορούσε να χρησιμοποιήσει το σφάλμα για να αποκαλύψει τον κατακερματισμό του Net-New Technology LAN Manager (NTLM) έκδοσης 2 ενός στοχευμένου χρήστη και στη συνέχεια να αναμεταδώσει αυτό το διαπιστευτήριο σε έναν επηρεαζόμενο διακομιστή Exchange και να ελέγξει την ταυτότητα του ως χρήστη.

Τέτοια ελαττώματα που αποκαλύπτουν ευαίσθητες πληροφορίες όπως τα hashes NTLM μπορεί να είναι πολύ πολύτιμα για τους επιτιθέμενους, δήλωσε ο Satnam Narang, ανώτερος ερευνητής μηχανικός του προσωπικού της Tenable σε μια δήλωση. "Ένας παράγοντας απειλών με βάση τη Ρωσία χρησιμοποίησε παρόμοια ευπάθεια για να πραγματοποιήσει επιθέσεις — το CVE-2023-23397 είναι μια ευπάθεια Elevation of Privilege στο Microsoft Outlook που διορθώθηκε τον Μάρτιο του 2023", είπε.

Για να επιδιορθώσουν το ελάττωμα, οι διαχειριστές του Exchange θα πρέπει να βεβαιωθούν ότι έχουν εγκαταστήσει την ενημέρωση αθροιστικής ενημερωμένης έκδοσης 2019 (CU14) του Exchange Server 14 και να διασφαλίσουν ότι είναι ενεργοποιημένη η δυνατότητα Εκτεταμένης προστασίας για έλεγχο ταυτότητας (EPA), δήλωσε η Trend Micro. Ο πωλητής ασφαλείας έδειξε ένα άρθρο που δημοσίευσε η Microsoft που παρέχει πρόσθετες πληροφορίες σχετικά με τον τρόπο επιδιόρθωσης της ευπάθειας.

Η Microsoft έχει εκχωρήσει στο CVE-2024-21410 μια μέγιστη βαθμολογία σοβαρότητας 9.1 στα 10, γεγονός που το καθιστά μια κρίσιμη ευπάθεια. Αλλά συνήθως οι ευπάθειες κλιμάκωσης προνομίων τείνουν να βαθμολογούνται σχετικά χαμηλά στην κλίμακα αξιολόγησης τρωτότητας CVSS, κάτι που διαψεύδει την πραγματική φύση της απειλής που παρουσιάζουν, δήλωσε ο Kev Breen, ανώτερος διευθυντής έρευνας απειλών στο Immersive Labs. «Παρά τη χαμηλή βαθμολογία τους, τα τρωτά σημεία [κλιμάκωσης προνομίων] αναζητούνται ιδιαίτερα από τους παράγοντες απειλών και χρησιμοποιούνται σχεδόν σε κάθε περιστατικό στον κυβερνοχώρο», δήλωσε ο Breen σε μια δήλωση. "Μόλις ένας εισβολέας έχει πρόσβαση σε έναν λογαριασμό χρήστη μέσω κοινωνικής μηχανικής ή κάποιας άλλης επίθεσης, θα επιδιώξει στη συνέχεια να κλιμακώσει τις άδειές του είτε στον τοπικό διαχειριστή είτε στον διαχειριστή τομέα."

Ο Walters από το Action1 τόνισε CVE-2024-21413, ένα ελάττωμα RCE στο Microsoft Outlook ως ευπάθεια που οι διαχειριστές μπορεί να θέλουν να δώσουν προτεραιότητα από την παρτίδα του Φεβρουαρίου. Το κρίσιμο ελάττωμα σοβαρότητας με σχεδόν μέγιστη βαθμολογία σοβαρότητας 9.8 περιλαμβάνει χαμηλή πολυπλοκότητα επίθεσης, καμία αλληλεπίδραση με τον χρήστη και δεν απαιτούνται ειδικά προνόμια για να το εκμεταλλευτεί ένας εισβολέας. "Ένας εισβολέας μπορεί να εκμεταλλευτεί αυτήν την ευπάθεια μέσω του παραθύρου προεπισκόπησης στο Outlook, επιτρέποντάς του να παρακάμψει την Προστασία του Office και να αναγκάσει τα αρχεία να ανοίξουν σε λειτουργία επεξεργασίας και όχι σε ασφαλέστερη προστατευμένη λειτουργία", είπε ο Walters.

Η ίδια η Microsoft αναγνώρισε την ευπάθεια ως κάτι στο οποίο οι εισβολείς είναι λιγότερο πιθανό να επιτεθούν. Ωστόσο, ο Walters είπε ότι η ευπάθεια αποτελεί σημαντική απειλή για τους οργανισμούς και απαιτεί άμεση προσοχή.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/vulnerabilities-threats/attackers-exploit-microsoft-security-bypass-zero-day-bugs