ゼファーネットのロゴ

生成的データ インテリジェンス

サイバーセキュリティ

Microsoft、積極的に悪用されたゼロデイ攻撃にパッチを適用

プラトン再発行
プラトン再発行

日付:

閲覧数: 120

Microsoft は、XNUMX 月のパッチ火曜日アップデートで XNUMX つの重大なセキュリティ脆弱性と、実際に活発な攻撃を受けている XNUMX つの「重要」と評価されたゼロデイに対処しました。

Microsoft は、製品全範囲にわたるバグに対処する合計 59 の新しいパッチをリリースしました。これらのパッチは、Microsoft Windows、Exchange Server、Office、.NET および Visual Studio、Azure、Microsoft Dynamics、および Windows Defender に影響します。

このアップデートには、次のようなサードパーティの問題もいくつか組み込まれています。 積極的に悪用されている、重大な Chromium ゼロデイ バグ これは Microsoft Edge に影響します。 外部の問題も含めると、CVE の数は合計 65 になります。

広範囲にわたる修正にもかかわらず、Microsoft Exchange Server と Windows での TCP/IP プロトコルの実装におけるゼロデイ、重大なバグ、および問題を最優先で解決する必要があるため、今月はパッチ適用の優先順位付けが非常に簡単であると研究者らは指摘しました。ほとんどの組織にとってこれがラインです。

Microsoft のゼロデイ攻撃による積極的なエクスプロイト

CVE のうち XNUMX つは、パッチ適用前に脅威アクターによって実際に使用されていたものとしてリストされていますが、公に知られているものとしてリストされているのは XNUMX つだけです。 明白な理由から、両方ともパッチ適用対象のリストの先頭に置く必要があります。

公開されているバグは Microsoft Word で見つかりました (CVE-2023-36761、CVSS 6.2); これは「情報漏えい」問題として分類されているが、トレンドマイクロのゼロデイ・イニシアチブ(ZDI)の研究者ダスティン・チャイルズ氏は、これは問題の重大性を反映していない、と指摘した。

「攻撃者はこの脆弱性を利用して NTLM ハッシュの開示を可能にする可能性があり、これはおそらく、 NTLM リレー形式の攻撃」と彼は火曜日に説明した Microsoft の XNUMX 月のパッチリリースに関する投稿。 「分類に関係なく、ここでもプレビュー ペインはベクトルです。つまり、ユーザーの操作は必要ありません。 間違いなく、これをテストと導入のリストの一番上に入れてください。」

もう XNUMX つのゼロデイは Windows オペレーティング システム (CVE-2023-36802、CVSS 7.8)、特に Microsoft Stream のストリーミング サービス プロキシ (以前は Office 365 ビデオとして知られていました)。 勧告によると、悪用を成功させるには、攻撃者が管理者権限またはシステム権限への権限昇格を可能にする特別に作成したプログラムを実行する必要があるという。

「これは、2023 年に実際に悪用された XNUMX 番目の特権昇格ゼロデイ脆弱性です」と Tenable のシニア スタッフ リサーチ エンジニアであるサナム ナラン氏は Dark Reading に語ります。 「攻撃者は 組織に侵入する無数の方法システムにアクセスするだけでは必ずしも十分とは限りません。特にゼロデイでは、特権昇格の欠陥がより価値のあるものになります。」

2023 年 XNUMX 月の重大な脆弱性

重大なバグに関して言えば、より懸念されることの XNUMX つは次のとおりです。 CVE-2023-29332、MicrosoftのAzure Kubernetesサービスにあります。 リモートの認証されていない攻撃者が、 Kubernetesクラスター 管理者権限。

「これは、インターネットからアクセスでき、ユーザーの操作を必要とせず、複雑さが低いと記載されているため、際立っています」とチャイルズ氏は投稿の中で警告した。 「このバグのリモートで認証されていない側面に基づくと、これは攻撃者にとって非常に魅力的なものとなる可能性があります。」

クリティカルと評価されたパッチのうち XNUMX つは、Visual Studio に影響を与える RCE の問題です (CVE-2023-36792, CVE-2023-36793, CVE-2023-36796、CVSS スコアはすべて 7.8)。 これらはいずれも、影響を受けるバージョンのソフトウェアで悪意のあるパッケージ ファイルを開くと、任意のコードが実行される可能性があります。

「Visual Studio の場合、 開発者の間で広く使用されているこのような脆弱性の影響はドミノ効果をもたらし、最初に侵害されたシステムをはるかに超えて被害が広がる可能性があります」と Automox 製品セキュリティ担当マネージャーの Tom Bowyer 氏は述べています。 郵便で言った。 「最悪のシナリオでは、独自のソース コードの盗難や破損、バックドアの導入、または悪意のある改ざんが発生し、アプリケーションが他者への攻撃の発射台に変わる可能性があります。」

最後の重要な問題は、 CVE-2023-38148 (CVSS 8.8、Microsoft が今月パッチを適用した最も深刻なもの)。これにより、Windows のインターネット接続共有 (ICS) 機能を介した認証されていないリモート コードの実行が可能になります。 攻撃者はネットワークに隣接している必要があるため、そのリスクは軽減されます。 さらに、ほとんどの組織は ICS を使用しなくなりました。 ただし、まだ使用している場合は、すぐにパッチを適用する必要があります。

「攻撃者がこの脆弱性の悪用に成功した場合、機密性、完全性、可用性が完全に失われる可能性があります」と Immersive Labs のサイバーセキュリティ主任エンジニアである Natalie Silva 氏は述べています。 「無許可の攻撃者が特別に細工したネットワーク パケットをサービスに送信することで、この脆弱性を悪用する可能性があります。 これにより、任意のコードが実行され、不正アクセス、データ操作、またはサービスの中断が発生する可能性があります。」

優先すべきその他の Microsoft パッチ

XNUMX 月のアップデートには、「悪用される可能性が高い」と考えられる Microsoft Exchange Server の一連のバグも含まれています。

三つの問題 (CVE-2023-36744, CVE-2023-36745, CVE-2023-36756、すべて CVSS 評価が 8.0 です)バージョン 2016 ~ 2019 に影響し、サービスに対する RCE 攻撃が可能になります。

「これらの攻撃はどれもサーバー自体に RCE を引き起こすものではありませんが、有効な資格情報を持つネットワークに隣接する攻撃者がユーザー データを変更したり、標的のユーザー アカウントの Net-NTLMv2 ハッシュを引き出したりすることを可能にする可能性があり、これを解読して回復する可能性があります。」ユーザーのパスワードを使用したり、別のサービスを攻撃するためにネットワーク内で中継したりする可能性があります」と、イマーシブ社の主任サイバーセキュリティ エンジニアであるロバート リーブス氏は述べています。

同氏はさらに、「Microsoft のセキュリティに関するアドバイスに反して、特権ユーザー (ネットワーク内でドメイン管理者または同様の権限を持つユーザー) が Exchange 上にメールボックスを作成している場合、このようなリレー攻撃は重大な結果をもたらす可能性があります。」

そして最後に、Automox の研究者は Windows TCP/IP のサービス拒否 (DoS) 脆弱性を報告しました (CVE-2023-38149、CVSS 7.5)を優先するものとして挙げます。

このバグはネットワークに接続されたあらゆるシステムに影響を及ぼし、「ユーザー認証や高度な複雑性を必要とせずに、攻撃者がネットワークベクトルを介してサービスを妨害できるようになる」と Automox の CISO である Jason Kikta 氏は次のように述べています。 パッチチューズデイの内訳。 「この脆弱性は、デジタル環境に対する重大な脅威を表しています。 これらの弱点が悪用されるとサーバーに過負荷がかかり、ネットワークやサービスの通常の機能が中断され、ユーザーがそれらを利用できなくなる可能性があります。」

ただし、IPv6 が無効になっているシステムは影響を受けません。

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.