מיקרוסופט התעלתה על עצמה עם מהדורות ה-Patch Tuesday של החודש, שאינן מכילות תיקונים של יום אפס, אם כי לפחות אחד מהטלאים מטפל בפגם שכבר מנוצל באופן פעיל.
מוצרים המושפעים מהעדכונים האחרונים של Patch Tuesday כוללים Windows ו-Windows Components; צבע תכלת; .NET Framework ו-Visual Studio; SQL Server; שרת DNS; Windows Defender; Bitlocker; ואתחול מאובטח של Windows.
העדכון של מיקרוסופט באפריל כלל 147 CVEs, שלושה מדורגים "קריטיים", 142 סווגו כ"חשובים" ושניים הרשומים כ"בינוניים" בחומרתם. המספר הזה מתנפח ל-155 CVEs אם נכללים פגמים של צד שלישי. המספר מייצג שיא עבור תיקוני Patch Tuesday.
"מיקרוסופט תיקנה 147 CVEs באפריל, המספר הגדול ביותר של CVEs שתוקנו בחודש מאז שהתחלנו לעקוב אחר הנתונים האלה ב-2017", אמר Satnam Narang, מהנדס צוות בכיר בחברת Tenable, בהצהרה. "הפעם האחרונה שתוקנו מעל 100 CVEs הייתה באוקטובר 2023, כאשר מיקרוסופט התייחסה ל-103 CVEs." השיא הקודם היה ביולי 2023, עם 130 CVEs שתוקנו, הוסיף Narang.
מיקרוסופט לא ציינה שאף אחד מה-CVE של תיקון יום שלישי באפריל הוא איומים של יום אפס, עזיבה מבורכת מהסרטון הנמרץ של השנה שעברה של גילויי יום אפס.
"הפעם בשנה שעברה, היו שבע פגיעות של יום אפס שנוצלו בטבע", אמר נראנג. השנה נוצלו רק שני ימי אפס ושניהם היו בפברואר. "קשה לזהות מדוע ראינו את הירידה הזו, בין אם זה רק חוסר נראות או אם זה מסמל מגמה של תוקפים המנצלים נקודות תורפה ידועות כחלק מהתקפותיהם על ארגונים".
עם זאת, ציין דסטין צ'יילדס מיוזמת Zero Day באפריל שלו ניתוח Microsoft Patch Tuesday שלארגון שלו יש ראיות לפגם מנוצל ידוע ברשימת התיקונים של החודש.
תיקון יום שלישי תיקוני לתעדוף
ילדים הצביעו על הפגיעות בדרגת החומרה המקסימלית ב-SmartScreen Prompt Security Feature Bypass (CVE-2024-29988) עם ציון CVSS של 8.8, אשר התגלה על ידי ZDI אך לא היה רשום כמנוצל בעדכון Patch Tuesday של Microsoft.
"עם זאת, הבאג שדווח על ידי צייד האיומים של ZDI, פיטר גירוס, נמצא בטבע", הוסיף צ'ילדס. "יש לנו הוכחות שזה מנוצל בטבע, ואני מפרט את זה ככזה".
באג נוסף בדרגת חומרה מקסימלית המשפיע על פגיעות ביצוע קוד מרחוק של נוהל מרחוק בזמן ריצה (CVE-2024-20678) קיבל ציון CVSS של 8.8 ותוקן החודש על ידי מיקרוסופט.
פגיעות זיוף (CVE-2024-20670), שרשום כחומרה מקסימלית עם CVSS בסיס של 8.1, תוקן ב-Outlook עבור Windows. וביצוע קוד מרחוק של שרת DNS של Windows, רשום גם כחומרה מקסימלית (CVE-2024-26221) עם ציון CVSS של 7.2, תוקן גם כן.
Microsoft SQL מקבל שפע של תיקונים
פגיעויות של Microsoft SQL Server מהוות נתח גדול מתיקוני ה-Patch Tuesday של החודש, על פי קב ברין, מנהל מחקר איומים בכיר עבור Immersive Labs.
"למרות שבמבט ראשון, נראה שמיקרוסופט קראה למספר רב של פגיעויות בהערות האחרונות שלה, 40 מהן קשורות כולן לאותו מוצר - Microsoft SQL Server", אמר ברין בהצהרה. "הבעיה העיקרית היא עם הלקוחות המשמשים לחיבור לשרת SQL, לא השרת עצמו."
ברין המשיך והסביר שכל אלה ידרשו הנדסה חברתית, מה שהופך את פגמי ה-SQL לקשים לניצול בכל יכולת שימושית.
"כל הפגיעויות המדווחות עוקבות אחר דפוס דומה: כדי שתוקף ישיג ביצוע קוד, עליו לשכנע משתמש מאומת בתוך ארגון להתחבר לשרת SQL מרוחק שהתוקף שולט בו", הוסיף ברין. "למרות שזה לא בלתי אפשרי, זה לא סביר שינוצל בקנה מידה על ידי תוקפים."
צוותי אבטחה המודאגים מהתקפות מסוג זה צריכים לחפש פעילות חריגה ולחסום חיבורים יוצאים למעט שרתים מהימנים.
Microsoft SmartScreen Prompt ו-Secure Boot Flaws
Narang של Tenable ציין את התיקון של החודש עבור מעקף תכונת האבטחה של SmartScreen Prompt (CVE-2024-29988), עם ציון CVSS של 8.8, מסתמך גם על הנדסה חברתית כדי לאפשר ניצול. באג דומה של יום אפס (CVE-2024-21412), שהתגלה על ידי אותם חוקרים, שימש בקמפיין של DarkGate שהתחזה למותגים פופולריים כמו אפל iTunes.
"Microsoft Defender SmartScreen אמורה לספק הגנות נוספות למשתמשי קצה מפני דיוג ואתרי אינטרנט זדוניים", אמר נראנג. "עם זאת, כפי שהשם מרמז, הפגמים הללו עוקפים את תכונות האבטחה הללו, מה שמוביל לכך שמשתמשי קצה נדבקים בתוכנה זדונית."
Narang גם הציע לצוותי אבטחה להסתכל על 24 תיקוני הליקויים של Windows Secure Boot הכלולים במהדורת התיקון של מיקרוסופט ביום שלישי של אפריל.
"הפעם האחרונה שמיקרוסופט תיקנה פגם באתחול מאובטח של Windows (CVE-2023-24932) במאי 2023 הייתה השפעה ניכרת שכן היא נוצלה בטבע וקשורה ל-BlackLotus UEFI bootkit, שנמכרה בפורומים של Dark Web תמורת 5,000 דולר", אמר.
תוכנה זדונית של BlackLotus מסוגל לחסום הגנות אבטחה בזמן האתחול.
"אף על פי שאף אחת מפגיעות האתחול המאובטח שטופלו החודש לא נוצלה בטבע, הן משמשות תזכורת לכך שהפגמים באתחול מאובטח נמשכים, ואנחנו יכולים לראות פעילות זדונית יותר הקשורה לאתחול מאובטח בעתיד", הדגיש נראנג.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/vulnerabilities-threats/microsoft-patch-tuesday-no-zero-days-but-one-under-active-exploit
