माइक्रोसॉफ्ट ने अपने सितंबर पैच मंगलवार अपडेट में पांच महत्वपूर्ण सुरक्षा कमजोरियों को संबोधित किया, साथ ही जंगल में सक्रिय हमले के तहत दो "महत्वपूर्ण"-रेटेड शून्य-दिनों को भी संबोधित किया।

कुल मिलाकर, माइक्रोसॉफ्ट ने पूरे उत्पाद क्षेत्र में बग को संबोधित करते हुए 59 नए पैच जारी किए: वे माइक्रोसॉफ्ट विंडोज, एक्सचेंज सर्वर, ऑफिस, .NET और विजुअल स्टूडियो, एज़्योर, माइक्रोसॉफ्ट डायनेमिक्स और विंडोज डिफेंडर को प्रभावित करते हैं।

अद्यतन में कुछ तृतीय-पक्ष मुद्दे भी शामिल हैं, जिनमें शामिल हैं सक्रिय रूप से शोषित, गंभीर क्रोमियम जीरो-डे बग जो Microsoft Edge को प्रभावित करता है। बाहरी मुद्दों के साथ, सीवीई की कुल संख्या 65 है।

सुधारों की व्यापकता के बावजूद, शोधकर्ताओं ने नोट किया कि इस महीने पैचिंग प्राथमिकता काफी सरल है, जिसमें शून्य-दिन, महत्वपूर्ण बग और माइक्रोसॉफ्ट एक्सचेंज सर्वर में समस्याएं और टीसीपी/आईपी प्रोटोकॉल के विंडोज कार्यान्वयन को आगे बढ़ाने की आवश्यकता है। अधिकांश संगठनों के लिए लाइन.

माइक्रोसॉफ्ट ज़ीरो-डेज़ अंडर एक्टिव एक्सप्लॉइट

जबकि दो सीवीई को पैचिंग से पहले जंगल में खतरनाक अभिनेताओं द्वारा उपयोग किए जाने के रूप में सूचीबद्ध किया गया है, केवल एक को सार्वजनिक रूप से ज्ञात के रूप में सूचीबद्ध किया गया है। स्पष्ट कारणों से दोनों को पैचिंग की सूची में शीर्ष पर होना चाहिए।

सार्वजनिक बग माइक्रोसॉफ्ट वर्ड में पाया गया है (CVE-2023-36761, सीवीएसएस 6.2); इसे "सूचना प्रकटीकरण" मुद्दे के रूप में वर्गीकृत किया गया है, लेकिन ट्रेंड माइक्रो के जीरो डे इनिशिएटिव (जेडडीआई) के शोधकर्ता डस्टिन चिल्ड्स ने कहा कि यह इसकी गंभीरता को झुठलाता है।

"एक हमलावर एनटीएलएम हैश के प्रकटीकरण की अनुमति देने के लिए इस भेद्यता का उपयोग कर सकता है, जिसे संभवतः तब इस्तेमाल किया जाएगा एनटीएलएम-रिले शैली का हमला, “उन्होंने मंगलवार को समझाया माइक्रोसॉफ्ट के सितंबर पैच रिलीज पर पोस्टिंग. “वर्गीकरण के बावजूद, पूर्वावलोकन फलक यहां भी एक वेक्टर है, जिसका अर्थ है कि किसी उपयोगकर्ता इंटरैक्शन की आवश्यकता नहीं है। निश्चित रूप से इसे अपनी परीक्षण-और-तैनाती सूची में सबसे ऊपर रखें।"

अन्य शून्य-दिवस विंडोज़ ऑपरेटिंग सिस्टम में मौजूद है (CVE-2023-36802, सीवीएसएस 7.8), विशेष रूप से माइक्रोसॉफ्ट स्ट्रीम की स्ट्रीमिंग सेवा प्रॉक्सी (जिसे पहले ऑफिस 365 वीडियो के नाम से जाना जाता था) में। सलाह के अनुसार, सफल शोषण के लिए, एक हमलावर को एक विशेष रूप से तैयार किया गया प्रोग्राम चलाने की आवश्यकता होगी जो प्रशासक या सिस्टम विशेषाधिकारों को विशेषाधिकार बढ़ाने की अनुमति देगा।

टेनेबल के वरिष्ठ स्टाफ रिसर्च इंजीनियर सतनाम नारंग डार्क रीडिंग को बताते हैं, "यह 2023 में जंगल में शोषण किए गए विशेषाधिकार शून्य-दिन की भेद्यता की आठवीं ऊंचाई है।" “क्योंकि हमलावरों के पास एक संगठनों का उल्लंघन करने के असंख्य तरीके, बस किसी सिस्टम तक पहुंच प्राप्त करना हमेशा पर्याप्त नहीं हो सकता है, जहां विशेषाधिकार दोषों का बढ़ना और अधिक मूल्यवान हो जाता है, खासकर शून्य-दिन।

सितंबर 2023 गंभीर कमजोरियाँ

जब गंभीर बग की बात आती है, तो सबसे अधिक चिंताजनक बगों में से एक है CVE-2023-29332, Microsoft की Azure Kubernetes सेवा में पाया गया। यह एक दूरस्थ, अप्रामाणिक हमलावर को लाभ प्राप्त करने की अनुमति दे सकता है कुबेरनेट्स क्लस्टर प्रशासन विशेषाधिकार.

चिल्ड्स ने अपने पोस्ट में चेतावनी दी, "यह सबसे अलग है क्योंकि इस तक इंटरनेट से पहुंचा जा सकता है, इसके लिए किसी उपयोगकर्ता की सहभागिता की आवश्यकता नहीं है और इसे कम जटिलता के रूप में सूचीबद्ध किया गया है।" "इस बग के दूरस्थ, अप्रमाणित पहलू के आधार पर, यह हमलावरों के लिए काफी आकर्षक साबित हो सकता है।"

क्रिटिकल-रेटेड पैच में से तीन आरसीई समस्याएं हैं जो विजुअल स्टूडियो को प्रभावित करती हैं (CVE-2023-36792, CVE-2023-36793, तथा CVE-2023-36796, सभी 7.8 के सीवीएसएस स्कोर के साथ)। सॉफ़्टवेयर के प्रभावित संस्करण के साथ दुर्भावनापूर्ण पैकेज फ़ाइल खोलने पर ये सभी मनमाने ढंग से कोड निष्पादन का कारण बन सकते हैं।

“विज़ुअल स्टूडियो दिया गया डेवलपर्स के बीच व्यापक उपयोगउत्पाद सुरक्षा के लिए ऑटोमॉक्स प्रबंधक टॉम बॉयर ने कहा, "इस तरह की कमजोरियों का प्रभाव एक डोमिनोज़ प्रभाव हो सकता है, जो शुरू में समझौता किए गए सिस्टम से परे नुकसान फैला सकता है।" एक पोस्ट में कहा. "सबसे खराब स्थिति में, इसका मतलब मालिकाना स्रोत कोड की चोरी या भ्रष्टाचार, पिछले दरवाजे की शुरूआत, या दुर्भावनापूर्ण छेड़छाड़ हो सकता है जो आपके एप्लिकेशन को दूसरों पर हमलों के लिए लॉन्चपैड में बदल सकता है।"

अंतिम महत्वपूर्ण मुद्दा है CVE-2023-38148 (सीवीएसएस 8.8, माइक्रोसॉफ्ट द्वारा इस महीने पैच किया गया सबसे गंभीर संस्करण), जो विंडोज़ में इंटरनेट कनेक्शन शेयरिंग (आईसीएस) फ़ंक्शन के माध्यम से अप्रमाणित रिमोट कोड निष्पादन की अनुमति देता है। इसका जोखिम इस तथ्य से कम हो जाता है कि एक हमलावर को नेटवर्क-आसन्न होने की आवश्यकता होगी; इसके अलावा, अधिकांश संगठन अब आईसीएस का उपयोग नहीं करते हैं। हालाँकि, जो लोग अभी भी इसका उपयोग कर रहे हैं उन्हें तुरंत पैच लगाना चाहिए।

इमर्सिव लैब्स के प्रमुख साइबर सुरक्षा इंजीनियर नताली सिल्वा कहते हैं, "अगर हमलावर सफलतापूर्वक इस भेद्यता का फायदा उठाते हैं, तो गोपनीयता, अखंडता और उपलब्धता का कुल नुकसान हो सकता है।" “एक अनधिकृत हमलावर सेवा में विशेष रूप से तैयार किए गए नेटवर्क पैकेट भेजकर इस भेद्यता का फायदा उठा सकता है। इससे मनमाने कोड का निष्पादन हो सकता है, जिसके परिणामस्वरूप संभावित रूप से अनधिकृत पहुंच, डेटा हेरफेर या सेवाओं में व्यवधान हो सकता है।

प्राथमिकता देने के लिए अन्य Microsoft पैच

सितंबर अपडेट में माइक्रोसॉफ्ट एक्सचेंज सर्वर बग का एक सेट भी शामिल है जिसे "शोषित होने की अधिक संभावना" माना जाता है।

मुद्दों की तिकड़ी (CVE-2023-36744, CVE-2023-36745, तथा CVE-2023-36756, सभी सीवीएसएस रेटिंग 8.0 के साथ) संस्करण 2016-2019 को प्रभावित करते हैं और सेवा के खिलाफ आरसीई हमलों की अनुमति देते हैं।

“हालांकि इनमें से किसी भी हमले के परिणामस्वरूप सर्वर पर आरसीई नहीं होता है, यह वैध क्रेडेंशियल्स वाले नेटवर्क-आसन्न हमलावर को उपयोगकर्ता डेटा को बदलने या लक्षित उपयोगकर्ता खाते के लिए नेट-एनटीएलएमवी 2 हैश प्राप्त करने की अनुमति दे सकता है, जिसे पुनर्प्राप्त करने के लिए क्रैक किया जा सकता है एक उपयोगकर्ता पासवर्ड या किसी अन्य सेवा पर हमला करने के लिए नेटवर्क में आंतरिक रूप से रिले किया गया,'' इमर्सिव के प्रमुख साइबर सुरक्षा इंजीनियर रॉबर्ट रीव्स कहते हैं।

वह कहते हैं, "यदि विशेषाधिकार प्राप्त उपयोगकर्ता - जिनके पास डोमेन एडमिन या नेटवर्क के भीतर समान अनुमतियां हैं - के पास माइक्रोसॉफ्ट की सुरक्षा सलाह के विपरीत, एक्सचेंज पर एक मेलबॉक्स बनाया गया है, तो ऐसे रिले हमले के महत्वपूर्ण परिणाम हो सकते हैं।"

और अंत में, ऑटोमॉक्स के शोधकर्ताओं ने विंडोज टीसीपी/आईपी में डिनायल-ऑफ-सर्विस (डीओएस) भेद्यता को चिह्नित किया (CVE-2023-38149, सीवीएसएस 7.5) को प्राथमिकता देने के लिए एक के रूप में।

ऑटोमॉक्स सीआईएसओ जेसन किक्टा ने कहा, बग किसी भी नेटवर्क सिस्टम को प्रभावित करता है, और "किसी हमलावर को नेटवर्क वेक्टर के माध्यम से किसी भी उपयोगकर्ता प्रमाणीकरण या उच्च जटिलता के बिना सेवा को बाधित करने की अनुमति देता है।" पैच मंगलवार का टूटना. “यह भेद्यता डिजिटल परिदृश्य के लिए एक महत्वपूर्ण खतरे का प्रतिनिधित्व करती है। इन कमजोरियों का फायदा उठाकर सर्वर पर भार डाला जा सकता है, जिससे नेटवर्क और सेवाओं की सामान्य कार्यप्रणाली बाधित हो सकती है और वे उपयोगकर्ताओं के लिए अनुपलब्ध हो सकती हैं।'

जैसा कि कहा गया है, IPv6 अक्षम वाले सिस्टम प्रभावित नहीं होते हैं।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. ऑटोमोटिव/ईवीएस, कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• चार्टप्राइम. चार्टप्राइम के साथ अपने ट्रेडिंग गेम को उन्नत करें। यहां पहुंचें।
• BlockOffsets. पर्यावरणीय ऑफसेट स्वामित्व का आधुनिकीकरण। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/application-security/microsoft-patches-pair-of-actively-exploited-zero-days