Η "Microsoft" 2024 m. balandžio mėn. išleido saugos naujinimus, kad pataisytų rekordą 149 defektai , iš kurių du buvo aktyviai eksploatuojami laukinėje gamtoje.
Iš 149 defektų trys įvertinti kritiniais, 142 – svarbūs, trys – vidutinio sunkumo, o vienas – žemo sunkumo. Atnaujinimas išvis nekyla 21 pažeidžiamumas su kuria bendrovė susidūrė savo „Chromium“ pagrindu veikiančioje „Edge“ naršyklėje po išleidimo kovo antradienio 2024 m. pataisos .
Du trūkumai, kurie buvo aktyviai išnaudoti, yra šie:
- CVE-2024-26234 (CVSS balas: 6,7) – tarpinio serverio tvarkyklės klastojimo pažeidžiamumas
- CVE-2024-29988 (CVSS balas: 8,8) – „SmartScreen Prompt“ saugos funkcijos apeina pažeidžiamumą
Nors „Microsoft“ patarime nepateikiama informacijos apie CVE-2024-26234, kibernetinė įmonėsaugumo„Sophos“ pranešė, kad 2023 m. gruodžio mėn. aptiko kenkėjišką vykdomąjį failą („Catalog.exe“ arba „Catalog Authentication Client Service“), kuris yra pasirašyta iš galiojančio Microsoft Windows techninės įrangos suderinamumo leidėjo ( WHCP ) sertifikatas.
Autentiško kodo analizė Dvejetainė versija atskleidė pradinį leidėją, prašantį Hainan YouHu Technology Co. Ltd, kuri taip pat yra kito įrankio, vadinamo LaiXi Android Screen Mirroring, leidėjas.
Pastaroji apibūdinama kaip „rinkodaros programinė įranga… [kuri] gali sujungti šimtus mobiliųjų telefonų ir valdyti juos paketais bei automatizuoti užduotis, tokias kaip grupės sekimas, mygtuko paspaudimas ir komentavimas“.
Tariamoje autentifikavimo tarnyboje yra komponentas, vadinamas 3 tarpinis serveris kuri skirta stebėti ir perimti tinklo srautą užkrėstoje sistemoje, efektyviai veikdama kaip užpakalinės durys.
„Neturime įrodymų, kad „LaiXi“ kūrėjai tyčia integravo kenkėjišką failą į savo produktą arba kad grėsmės veikėjas surengė tiekimo grandinės ataką, kad įterptų jį į „LaiXi“ programos kūrimo / kūrimo procesą. jis pareiškė Sophos tyrinėtojas Andreasas Klopschas. .
Kibernetinio saugumo įmonė taip pat teigė, kad iki 5 m. sausio 2023 d. gamtoje aptiko keletą kitų užpakalinių durų variantų, o tai rodo, kad kampanija vykdoma bent jau nuo tada. Nuo tada „Microsoft“ įtraukė atitinkamus failus į savo atšaukimo sąrašą.
„Norėdamas išnaudoti šią saugos funkciją apeiti pažeidžiamumą, užpuolikas turėtų įtikinti vartotoją paleisti kenkėjiškus failus naudodamas paleidimo priemonę, kuri reikalauja, kad nebūtų rodoma vartotojo sąsaja“, – teigė „Microsoft“.
„El. pašto arba momentinių pranešimų atakos scenarijuje užpuolikas gali nusiųsti tiksliniam vartotojui specialiai sukurtą failą, skirtą išnaudoti nuotolinio kodo vykdymo pažeidžiamumą.
Nulinės dienos iniciatyva atskleista kad yra trūkumo išnaudojimo laukinėje gamtoje įrodymų, nors „Microsoft“ pažymėjo jį įvertinimu „Labiausiai tikėtinas išnaudojimas“.
Kita svarbi problema yra pažeidžiamumas CVE-2024-29990 (CVSS balas: 9.0), privilegijų padidinimo trūkumas, turintis įtakos „Microsoft Azure Kubernetes Service Container Confidential“, kuriuo gali pasinaudoti neautentifikuoti užpuolikai, kad pavogtų kredencialus.
„Užpuolikas gali pasiekti nepatikimą „AKS Kubernetes“ mazgą ir „AKS Confidential Container“, kad perimtų konfidencialius svečius ir konteinerius už tinklo dėklo, su kuriuo jis gali būti susietas“, – sakė Redmondas.
Apskritai, leidimas pasižymi 68 nuotolinio kodo vykdymo, 31 privilegijų eskalavimo, 26 saugos funkcijų apėjimo ir šešių paslaugų atsisakymo (DoS) klaidomis. Įdomu tai, kad 24 iš 26 saugos apėjimo klaidų yra susijusios su saugiu įkrovimu.
„Nors nė vienas iš šių pažeidžiamumų Saugus Įkėlimo Šį mėnesį aptartos problemos nebuvo išnaudotos laukinėje gamtoje, jos primena, kad Saugios įkrovos trūkumai vis dar egzistuoja ir ateityje galime pastebėti daugiau su saugiu įkrovimu susijusios kenkėjiškos veiklos“, – sakė Satnamas Narangas, Tenable vyresnysis personalo tyrimų inžinierius. teiginys.
Atskleidimas ateina kaip ir „Microsoft“. susidurti su kritika apie savo saugumo praktiką su naujausia peržiūros tarybos ataskaita Kibernetinis saugumas(CSRB) ragina bendrovę, kad ji nepakankamai imasi veiksmų, kad užkirstų kelią kibernetinio šnipinėjimo kampanijai, kurią organizavo Kinijos grėsmių veikėjas, sekamas kaip Audra. -0558 pernai.
Tai taip pat priklauso nuo bendrovės sprendimo paskelbti pagrindinės priežasties duomenis saugos trūkumams, naudojant bendrąjį silpnybių sąrašo (CWE) pramonės standartą. Tačiau verta paminėti, kad pakeitimai taikomi tik pradedant nuo 2024 m. kovo mėn. paskelbtais įspėjimais.
„CWE įvertinimų įtraukimas į „Microsoft“ saugos patarimą padeda nustatyti bendrą pagrindinę pažeidžiamumo priežastį“, – pranešime „The Hacker News“ sakė Rapid7 vyriausiasis programinės įrangos inžinierius Adamas Barnettas.
„CWE programa neseniai atnaujino savo gaires CVE susiejimas su pagrindine CWE priežastimi . CWE tendencijų analizė gali padėti kūrėjams sumažinti būsimų įvykių skaičių, patobulinus programinės įrangos kūrimo gyvavimo ciklo (SDLC) darbo eigą ir testavimą, taip pat padėti gynėjams suprasti, kur nukreipti gilias gynybos pastangas ir sustiprinti kūrimą, kad investicijų grąža būtų geresnė.
Vykdydama susijusią plėtrą, kibernetinio saugumo įmonė „Varonis“ atskleidė du metodus, kuriuos užpuolikai galėjo taikyti, kad apeitų audito žurnalus ir išvengtų atsisiuntimo įvykių, kai eksportuojami failai iš „SharePoint“.
Pirmasis metodas naudoja „SharePoint“ funkciją „Atidaryti programoje“, kad pasiektų ir atsisiųstų failus, o antrasis – failams ar net ištisoms svetainėms atsisiųsti naudoja „Microsoft SkyDriveSync“ vartotojo agentą, klaidingai klasifikuojant tokius įvykius kaip failų sinchronizavimą, o ne atsisiuntimą .
„Šie metodai gali apeiti tradicinių įrankių, pvz., prieigos prie debesies saugos brokerių, duomenų praradimo prevencijos ir SIEM, aptikimo ir vykdymo politiką, nes atsisiuntimus užmaskuoja kaip mažiau įtartinus prieigos ir sinchronizavimo įvykius. jis pasakė Erikas Saraga.
Trečiųjų šalių programinės įrangos pataisymai
Be „Microsoft“, pastarosiomis savaitėmis saugos naujinimus išleido ir kiti pardavėjai, kad ištaisytų keletą pažeidžiamumų, įskaitant:
- plaušamolis
- AMD
- Android
- „Apache XML Security“, skirta C++
- Aruba tinklai
- Atos
- Bosch
- Cisco
- D-Link
- miškingas slėnis
- Drupal
- F5
- Fortinetas
- Fortra
- GitLab
- "Google Chrome"
- "Google Cloud
- "Google" Pixel
- HIKVISION
- Hitachi energija
- HP
- „HP Enterprise“
- Http / 2
- IBM
- Ivanta
- Jenkins
- "Lenovo"
- „LG webOS“
- Linux distribucijos debian, „Oracle Linux“, "Red Hat", SUSAir ubuntu
- MediaTek
- „Mozilla Firefox“, „Firefox ESR“ ir „Thunderbird“.
- NETGEAR
- "NVIDIA
- "Qualcomm
- Rockwell Automation
- Rūdys
- "Samsung"
- SAP
- "Schneider Electric"
- siemens
- Splunk
- SYNOLOGY
- "VMware"
- WordPress
- Padidinti
