마이크로 소프트 XNUMX월 보안 업데이트 130개의 고유한 취약점에 대한 수정 사항이 포함되어 있으며 그 중 XNUMX개는 공격자가 이미 적극적으로 악용하고 있습니다.
이 회사는 결함 중 121개를 심각한 심각도로 평가했고 그 중 XNUMX개를 보통 또는 중요 심각도로 평가했습니다. 이 취약점은 Windows, Office, .Net, Azure Active Directory, 프린터 드라이버, DMS 서버 및 원격 데스크톱을 포함한 광범위한 Microsoft 제품에 영향을 미칩니다. 이 업데이트에는 RCE(원격 코드 실행) 결함, 보안 우회 및 권한 에스컬레이션 문제, 정보 공개 버그 및 서비스 거부 취약점이 일반적으로 혼합되어 포함되어 있습니다.
"이러한 수정량은 지난 몇 년 동안 본 것 중 가장 높습니다.'Microsoft가 Black Hat USA 컨퍼런스 직전에 많은 수의 패치를 제공하는 것을 보는 것은 드문 일이 아닙니다.
보안 연구원에 따르면 패치 우선 순위 지정 관점에서 Microsoft가 이번 주에 공개한 XNUMX개의 제로 데이에 즉각적인 관심이 필요합니다.
그 중 가장 심각한 것은 CVE-2023-36884, Office 및 Windows HTML의 RCE(원격 코드 실행) 버그로 Microsoft가 이번 달 업데이트에서 패치를 제공하지 않았습니다. 이 회사는 추적 중인 위협 그룹인 Storm-0978이 북미와 유럽의 정부 및 방위 조직을 대상으로 하는 피싱 캠페인의 결함을 악용하는 것으로 확인했습니다.
이 캠페인에는 우크라이나 세계 의회와 관련된 주제가 포함된 Windows 문서를 통해 RomCom이라는 백도어를 배포하는 공격자가 포함됩니다. “폭풍-0978'의 표적 작전은 주로 우크라이나에 있는 정부 및 군사 조직뿐만 아니라 우크라이나 문제에 잠재적으로 연루된 유럽 및 북미 조직에 영향을 미쳤습니다.” 마이크로소프트는 블로그에서 XNUMX월 보안 업데이트와 함께 게시된 게시물입니다. "확인된 랜섬웨어 공격은 특히 통신 및 금융 산업에 영향을 미쳤습니다."
ZDI의 또 다른 연구원인 Dustin Childs는 Microsoft 자체에서 CVE-2023-36884를 상대적으로 덜 심각하고 "중요한" 버그로 평가했지만 CVE-XNUMX-XNUMX를 "심각한" 보안 문제로 취급하라고 조직에 경고했습니다. "Microsoft는 이 CVE를 출시하는 이상한 조치를 취했습니다. 없이 패치. 저것'아직 오지 않았습니다.”라고 Childs는 블로그 게시물에 썼습니다. “분명히 거기'이 악용에 대해 말하는 것보다 훨씬 더 많은 것입니다.”
적극적으로 악용되고 있는 XNUMX가지 취약점 중 XNUMX가지가 보안 우회 결함입니다. 하나는 Microsoft Outlook에 영향을 미칩니다(CVE-2023-35311) 및 다른 하나는 Windows SmartScreen(CVE-2023-32049). 두 취약점 모두 사용자 상호 작용이 필요합니다. 즉, 공격자는 사용자가 악성 URL을 클릭하도록 유도해야만 악용할 수 있습니다. CVE-2023-32049를 통해 공격자는 Open File – Security Warning 프롬프트를 우회할 수 있으며, CVE-2023-35311은 공격자에게 Microsoft Outlook 보안 알림 프롬프트를 통해 공격을 잠입할 수 있는 방법을 제공합니다.
Action2023의 취약성 및 위협 연구 부사장인 Mike Walters는 “[CVE-35311-1]은 특히 Microsoft Outlook 보안 기능을 우회하도록 허용하고 원격 코드 실행 또는 권한 에스컬레이션을 활성화하지 않는다는 점에 유의하는 것이 중요합니다. “따라서 공격자는 포괄적인 공격을 위해 이를 다른 익스플로잇과 결합할 가능성이 높습니다. 이 취약점은 2013년부터 모든 버전의 Microsoft Outlook에 영향을 미칩니다.”라고 그는 Dark Reading에 보낸 이메일에서 언급했습니다.
Immersive Labs의 사이버 위협 연구 책임자인 Kev Breen은 다른 보안 바이패스 제로데이를 평가했습니다. - CVE-2023-32049 — 공격자가 더 광범위한 공격 체인의 일부로 사용할 가능성이 가장 높은 또 다른 버그입니다.
마이크로소프트의 최신 패치 세트에 있는 다른 두 개의 제로데이는 모두 권한 에스컬레이션을 가능하게 합니다. Google의 Threat Analysis Group 연구원이 그중 하나를 발견했습니다. 다음과 같이 추적되는 결함 CVE-2023-36874, 공격자가 취약한 시스템에서 관리 권한을 얻을 수 있는 방법을 제공하는 WER(Windows 오류 보고) 서비스의 권한 상승 문제입니다. 공격자는 결함을 악용하기 위해 영향을 받는 시스템에 대한 로컬 액세스가 필요하며 다른 악용 또는 자격 증명 오용을 통해 이를 얻을 수 있습니다.
Automox의 보안 연구원인 Tom Bowyer는 "WER 서비스는 특정 소프트웨어가 충돌하거나 다른 유형의 오류가 발생할 때 오류 보고서를 자동으로 수집하여 Microsoft에 보내는 Microsoft Windows 운영 체제의 기능입니다."라고 말했습니다. 그는 "이 제로데이 취약점은 적극적으로 악용되고 있으므로 조직에서 WER을 사용하는 경우 24시간 이내에 패치를 적용하는 것이 좋습니다"라고 말했습니다.
공격자가 이미 적극적으로 악용하고 있는 XNUMX월 보안 업데이트의 다른 권한 상승 버그는 CVE-2023-32046 Microsoft의 Windows MSHTM 플랫폼, 일명 "Trident" 브라우저 렌더링 엔진. 다른 많은 버그와 마찬가지로 이 버그도 일정 수준의 사용자 상호 작용이 필요합니다. 버그를 악용하기 위한 전자 메일 공격 시나리오에서 공격자는 대상 사용자에게 특별히 제작된 파일을 보내고 사용자가 파일을 열도록 해야 합니다. 웹 기반 공격에서 공격자는 악의적인 웹사이트를 호스팅하거나 손상된 웹사이트를 사용하여 특별히 제작된 파일을 호스팅한 다음 피해자가 파일을 열도록 유도해야 한다고 마이크로소프트는 말했습니다.
Windows 라우팅, 원격 액세스 서비스의 RCE
보안 연구원들은 Windows 라우팅 및 원격 액세스 서비스(RRAS)에서 세 가지 RCE 취약점을 지적했습니다.CVE-2023-35365, CVE-2023-35366및 CVE-2023-35367) 무엇보다도 우선적인 관심을 받을 만한 가치가 있습니다. 마이크로소프트는 세 가지 취약점을 모두 심각하다고 평가했으며 세 가지 모두 CVSS 점수가 9.8입니다. Automox의 Bowyer는 이 서비스가 기본적으로 Windows Server에서 사용할 수 없으며 기본적으로 OS를 실행하는 컴퓨터가 라우터, VPN 서버 및 전화 접속 서버로 작동하도록 할 수 있다고 말했습니다. “성공적인 공격자는 네트워크 구성을 수정하거나, 데이터를 훔치거나, 더 중요하고 중요한 다른 시스템으로 이동하거나, 장치에 대한 지속적인 액세스를 위해 추가 계정을 만들 수 있습니다."
SharePoint 서버 결함
Microsoft의 대규모 XNUMX월 업데이트에는 최근 인기 있는 공격 대상이 된 SharePoint 서버의 XNUMX가지 RCE 취약점에 대한 수정 사항이 포함되어 있습니다. Microsoft는 버그 중 두 가지를 "중요"(CVE-2023-33134 과 CVE-2023-33159) 나머지 두 개는 "중요"(CVE-2023-33157 과 CVE-2023-33160). Silverfort의 수석 연구원인 Yoav Iellin은 "이 모든 것에는 공격자가 인증을 받거나 사용자가 조치를 취해야 위반 위험이 줄어듭니다."라고 말했습니다. "그래도 SharePoint는 민감한 데이터를 포함할 수 있고 일반적으로 조직 외부에서 노출되므로 온프레미스 또는 하이브리드 버전을 사용하는 사람들은 업데이트해야 합니다."
FEDRAMP, PCI, HIPAA, SOC2 및 이와 유사한 규정과 같은 규정을 준수해야 하는 조직은 다음 사항에 주의해야 합니다. CVE-2023-35332 : Cyolo의 연구 책임자인 Dor Dali는 Windows 원격 데스크톱 프로토콜 보안 기능 우회 결함이라고 말했습니다. 이 취약점은 조직에 상당한 보안 및 규정 준수 위험을 제공하는 DTLS(Datagram Transport Layer Security) 버전 1.0을 포함하여 오래되고 더 이상 사용되지 않는 프로토콜의 사용과 관련이 있다고 그는 말했습니다. 조직이 즉시 업데이트할 수 없는 상황에서는 RDP 게이트웨이에서 UDP 지원을 비활성화해야 한다고 그는 말했습니다.
또한 Microsoft 권고를 발표하다 Microsoft에서 인증한 드라이버를 사용하는 위협 행위자에 대한 최근 보고에 대한 조사'■ 악용 후 활동의 Windows 하드웨어 개발자 프로그램(MWHDP).
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/application-security/microsoft-discloses–zero-days-in-voluminous-july-security-update
