Platonova podatkovna inteligenca.
Navpično iskanje in Ai.

Cyber ​​Security

Microsoft Patch Tuesday Tsunami: brez Zero-Days, ampak z zvezdico

Objavil Platon
Objavil Platon

Datum:

Ogledov: 0

Microsoft je presegel samega sebe z izdajami Patch Tuesday tega meseca, ki ne vsebujejo popravkov ničelnega dne, čeprav vsaj eden od popravkov obravnava napako, ki se že aktivno izkorišča.

Izdelki, na katere vplivajo najnovejše torkove posodobitve, vključujejo Windows in komponente sistema Windows; Azure; .NET Framework in Visual Studio; SQL Server; DNS strežnik; Windows Defender; Bitlocker; in Windows Secure Boot.

Microsoftova aprilska posodobitev je vključevala 147 CVE-jev, trije so bili ocenjeni kot »Kritični«, 142 kategorizirani kot »Pomembni«, dva pa sta bila navedena kot »Zmerna« po resnosti. To število naraste na 155 CVE, če so vključene napake tretjih oseb. Število predstavlja rekordno visoko vrednost za popravke v torek.

"Microsoft je v aprilu zakrpal 147 CVE-jev, kar je največje število CVE-jev, popravljenih v enem mesecu, odkar smo leta 2017 začeli slediti tem podatkom," je v izjavi dejal Satnam Narang, višji zaposleni raziskovalni inženir pri Tenable. »Nazadnje je bilo zakrpanih več kot 100 CVE-jev oktobra 2023, ko je Microsoft obravnaval 103 CVE-je.« Prejšnja najvišja vrednost je bila julija 2023, pri čemer je bilo popravljenih 130 CVE, je dodal Narang.

Microsoft ni navedel, da so CVE-ji z ​​aprilskim popravkom v torek grožnje ničelnega dne, kar je dobrodošel odmik od lanskega hitrega posnetka razkritij ničelnega dne.

"Ta čas lani je bilo v divjini izkoriščenih sedem ranljivosti ničelnega dne," je dejal Narang. Letos sta bila izkoriščena samo dva ničelna dneva in oba februarja. "Težko je natančno določiti, zakaj smo opazili to zmanjšanje, ali gre samo za pomanjkanje prepoznavnosti ali če to pomeni trend, ko napadalci uporabljajo znane ranljivosti kot del svojih napadov na organizacije."

Vendar je Dustin Childs iz pobude Zero Day Initiative v svojem aprilu opozoril Microsoft Patch Tuesday analiza da ima njegova organizacija dokaz o znani izkoriščeni napaki na seznamu popravkov tega meseca.

Popravki v torek, ki jim je treba dati prednost

Childs je opozoril na ranljivost največje resnosti v SmartScreen Prompt Security Feature Bypass (CVE-2024-29988) z oceno CVSS 8.8, kar je odkril ZDI, vendar ni bilo navedeno kot izkoriščeno v Microsoftovi torkovi posodobitvi popravkov.

"Vendar je bil hrošč, o katerem je poročal lovec na grožnje ZDI Peter Girrus, najden v divjini," je dodal Childs. "Imamo dokaze, da se to izkorišča v divjini, in kot tako ga navajam."

Druga napaka največje resnosti, ki vpliva na ranljivost oddaljenega izvajanja kode izvajanja klicev oddaljenih postopkov (CVE-2024-20678) je dobil oceno CVSS 8.8 in ga je ta mesec popravil Microsoft.

Ponarejena ranljivost (CVE-2024-20670), navedena kot največja resnost z osnovnim CVSS 8.1, je bila popravljena v Outlooku za Windows. In oddaljeno izvajanje kode strežnika Windows DNS, prav tako navedeno kot največja resnost (CVE-2024-26221) z oceno CVSS 7.2, je bil prav tako popravljen.

Microsoft SQL dobi veliko popravkov

Po besedah ​​Keva Breena, višjega direktorja raziskave groženj za Immersive Labs, ranljivosti strežnika Microsoft SQL predstavljajo velik delež torkovih popravkov tega meseca.

"Čeprav se na prvi pogled morda zdi, da je Microsoft v svojih zadnjih opombah opozoril na veliko ranljivosti, jih je 40 povezanih z istim izdelkom - Microsoft SQL Server," je dejal Breen v izjavi. "Glavna težava je pri odjemalcih, ki se uporabljajo za povezavo s strežnikom SQL, in ne pri samem strežniku."

Breen je pojasnil, da bo vse to zahtevalo socialni inženiring, zaradi česar bo napake SQL težko izkoristiti v kakršni koli koristni vlogi.

»Vse prijavljene ranljivosti sledijo podobnemu vzorcu: Da bi napadalec dosegel izvajanje kode, mora prepričati overjenega uporabnika znotraj organizacije, da se poveže z oddaljenim strežnikom SQL, ki ga napadalec nadzoruje,« je dodal Breen. "Čeprav ni nemogoče, je malo verjetno, da bi napadalci to izkoristili v velikem obsegu."

Varnostne ekipe, ki jih skrbijo te vrste napadov, bi morale poiskati nenormalno dejavnost in blokirati odhodne povezave, razen do zaupanja vrednih strežnikov.

Poziv Microsoft SmartScreen in napake pri varnem zagonu

Tenableov Narang je opazil ta mesečni popravek za obvod varnostne funkcije SmartScreen Prompt (CVE-2024-29988), s svojo oceno CVSS 8.8, se prav tako zanaša na socialni inženiring, da omogoči izkoriščanje. Podobna napaka zero-day (CVE-2024-21412), ki so jo odkrili isti raziskovalci, je bila uporabljena v kampanji DarkGate, ki je predstavljala priljubljene blagovne znamke, kot je Apple iTunes.

"Microsoft Defender SmartScreen naj bi zagotovil dodatno zaščito za končne uporabnike pred lažnim predstavljanjem in zlonamernimi spletnimi mesti," je dejal Narang. "Vendar, kot pove že ime, te napake zaobidejo te varnostne funkcije, zaradi česar so končni uporabniki okuženi z zlonamerno programsko opremo."

Narang je tudi predlagal varnostnim ekipam, da si ogledajo 24 popravkov napak pri varnem zagonu sistema Windows, ki so vključeni v izdajo Microsoftovega aprilskega popravka v torek.

»Zadnjič, ko je Microsoft popravil napako v sistemu Windows Secure Boot (CVE-2023-24932) maja 2023 je imel opazen vpliv, saj je bil izkoriščen v divjini in povezan z zagonskim kompletom BlackLotus UEFI, ki je bil na forumih Dark Web prodan za 5,000 $,« je dejal.

Zlonamerna programska oprema BlackLotus lahko blokira varnostne zaščite med zagonom.

»Čeprav nobena od teh ranljivosti varnega zagona, ki smo jih obravnavali ta mesec, ni bila izkoriščena v naravi, služijo kot opomnik, da napake v varnem zagonu ostajajo in da bi lahko v prihodnosti videli več zlonamernih dejavnosti, povezanih z varnim zagonom,« je poudaril Narang.

spot_img

Najnovejša inteligenca

spot_img

Avtorske pravice @ 2024 Plato Technologies Inc.

Klepetajte z nami

Zdravo! Kako vam lahko pomagam?