Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Microsoft herstelt een paar actief uitgebuite Zero-Days

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 120

Microsoft heeft vijf kritieke beveiligingsproblemen aangepakt in de Patch Tuesday-update van september, samen met twee als “belangrijk” beoordeelde zero-days onder actieve aanval in het wild.

In totaal heeft Microsoft 59 nieuwe patches uitgebracht die bugs in het hele productgamma aanpakken: ze zijn van invloed op Microsoft Windows, Exchange Server, Office, .NET en Visual Studio, Azure, Microsoft Dynamics en Windows Defender.

De update bevat ook een handvol problemen van derden, waaronder een actief uitgebuit, kritieke Chromium zero-day bug dat invloed heeft op Microsoft Edge. Met betrekking tot de externe kwesties bedraagt ​​het aantal CVE’s in totaal 65.

Ondanks de omvang van de oplossingen merkten onderzoekers op dat het prioriteren van patches deze maand redelijk eenvoudig is, waarbij de zero-days, kritieke bugs en problemen in Microsoft Exchange Server en de Windows-implementatie van het TCP/IP-protocol naar voren moeten komen. de lijn voor de meeste organisaties.

Microsoft Zero-Day onder actieve exploitatie

Hoewel van twee van de CVE’s wordt vermeld dat ze voorafgaand aan de patch door bedreigingsactoren in het wild worden gebruikt, wordt er slechts één vermeld als publiekelijk bekend. Beide zouden om voor de hand liggende redenen bovenaan de lijst voor patching moeten staan.

De openbare bug is te vinden in Microsoft Word (CVE-2023-36761, CVSS 6.2); het wordt geclassificeerd als een probleem van het vrijgeven van informatie, maar Dustin Childs, onderzoeker bij het Zero Day Initiative (ZDI) van Trend Micro, merkte op dat dit de ernst ervan logenstraft.

“Een aanvaller zou deze kwetsbaarheid kunnen gebruiken om de openbaarmaking van NTLM-hashes mogelijk te maken, die vervolgens vermoedelijk in een NTLM-relay-stijl aanval”, legde hij dinsdag uit geplaatst op de patch-release van Microsoft in september. “Ongeacht de classificatie is het voorbeeldvenster ook hier een vector, wat betekent dat er geen gebruikersinteractie vereist is. Zet deze zeker bovenaan je test-en-implementatielijst.”

De andere zero-day bestaat in het Windows-besturingssysteem (CVE-2023-36802, CVSS 7.8), specifiek in de streamingserviceproxy van Microsoft Stream (voorheen bekend als Office 365 Video). Voor succesvolle exploitatie zou een aanvaller een speciaal vervaardigd programma moeten uitvoeren dat escalatie van bevoegdheden naar beheerders- of systeemrechten mogelijk maakt, aldus het advies.

“Het is de achtste zero-day-kwetsbaarheid die in 2023 in het wild wordt uitgebuit”, vertelt Satnam Narang, senior stafonderzoeksingenieur bij Tenable, aan Dark Reading. “Omdat aanvallers een talloze manieren om organisaties te doorbreken, is het simpelweg verkrijgen van toegang tot een systeem misschien niet altijd genoeg, en dat is waar het vergroten van privilege-fouten veel waardevoller wordt, vooral zero-days.”

September 2023 Kritieke kwetsbaarheden

Als het gaat om de kritieke bugs, is een van de meest zorgwekkende bugs CVE-2023-29332, gevonden in de Azure Kubernetes-service van Microsoft. Hierdoor zou een niet-geauthenticeerde aanvaller op afstand toegang kunnen krijgen Kubernetes-cluster beheerdersrechten.

“Deze valt op omdat deze via internet kan worden bereikt, geen gebruikersinteractie vereist en als laagcomplexiteit wordt vermeld”, waarschuwde Childs in zijn bericht. “Gebaseerd op het afgelegen, niet-geverifieerde aspect van deze bug, zou dit behoorlijk verleidelijk kunnen zijn voor aanvallers.”

Drie van de kritieke patches zijn RCE-problemen die van invloed zijn op Visual Studio (CVE-2023-36792, CVE-2023-36793 en CVE-2023-36796, allemaal met een CVSS-score van 7.8). Ze kunnen allemaal leiden tot het uitvoeren van willekeurige code bij het openen van een kwaadaardig pakketbestand met een getroffen versie van de software.

“Gezien Visual Studio's wijdverbreid gebruik onder ontwikkelaarskan de impact van dergelijke kwetsbaarheden een domino-effect hebben, waardoor de schade zich tot ver buiten het aanvankelijk gecompromitteerde systeem verspreidt”, zegt Tom Bowyer, Automox-manager voor productbeveiliging, zei in een post. “In het ergste geval kan dit de diefstal of corruptie van propriëtaire broncode betekenen, de introductie van backdoors of kwaadwillig geknoei waardoor uw applicatie een startpunt kan worden voor aanvallen op anderen.”

Het laatste cruciale probleem is CVE-2023-38148 (CVSS 8.8, de ernstigste die Microsoft deze maand heeft gepatcht), waardoor niet-geverifieerde code op afstand kan worden uitgevoerd via de functie Internet Connection Sharing (ICS) in Windows. Het risico ervan wordt beperkt door het feit dat een aanvaller zich aan een netwerk moet bevinden; bovendien maken de meeste organisaties geen gebruik meer van ICS. Degenen die het nog steeds gebruiken, moeten echter onmiddellijk patchen.

“Als aanvallers deze kwetsbaarheid met succes misbruiken, kan er sprake zijn van een totaal verlies van vertrouwelijkheid, integriteit en beschikbaarheid”, zegt Natalie Silva, hoofd cybersecurity-ingenieur bij Immersive Labs. “Een ongeautoriseerde aanvaller kan misbruik maken van dit beveiligingslek door een speciaal vervaardigd netwerkpakket naar de service te sturen. Dit zou kunnen leiden tot de uitvoering van willekeurige code, wat mogelijk kan resulteren in ongeoorloofde toegang, gegevensmanipulatie of verstoring van de dienstverlening.”

Andere Microsoft-patches om prioriteit aan te geven

Ook opgenomen in de update van september is een reeks Microsoft Exchange Server-bugs waarvan wordt aangenomen dat deze “waarschijnlijker worden uitgebuit.”

Het drietal problemen (CVE-2023-36744, CVE-2023-36745 en CVE-2023-36756, allemaal met een CVSS-beoordeling van 8.0) zijn van invloed op versies 2016-2019 en maken RCE-aanvallen op de service mogelijk.

“Hoewel geen van deze aanvallen resulteert in RCE op de server zelf, kan het een netwerkaangrenzende aanvaller met geldige inloggegevens in staat stellen gebruikersgegevens te wijzigen of een Net-NTLMv2-hash voor een gericht gebruikersaccount te ontlokken, die op zijn beurt kan worden gekraakt om te herstellen een gebruikerswachtwoord of intern in het netwerk doorgegeven om een ​​andere dienst aan te vallen”, zegt Robert Reeves, hoofd cybersecurity-ingenieur bij Immersive.

Hij voegt eraan toe: “Als geprivilegieerde gebruikers (die met Domain Admin of soortgelijke machtigingen binnen het netwerk) een mailbox hebben die is aangemaakt op Exchange, kan een dergelijke relay-aanval, in strijd met het beveiligingsadvies van Microsoft, aanzienlijke gevolgen hebben.”

En ten slotte signaleerden onderzoekers van Automox een Denial-of-Service (DoS)-kwetsbaarheid in Windows TCP/IP (CVE-2023-38149, CVSS 7.5) als een prioriteit.

De bug treft elk netwerksysteem en “stelt een aanvaller via een netwerkvector in staat de service te verstoren zonder enige gebruikersauthenticatie of hoge complexiteit”, zegt Automox CISO Jason Kikta, in een uitsplitsing van Patch Tuesday. “Deze kwetsbaarheid vertegenwoordigt een aanzienlijke bedreiging … voor het digitale landschap. Deze zwakke punten kunnen worden uitgebuit om servers te overbelasten, waardoor de normale werking van netwerken en diensten wordt verstoord en ervoor wordt gezorgd dat ze niet meer beschikbaar zijn voor gebruikers.”

Dat gezegd hebbende, worden systemen waarbij IPv6 uitgeschakeld is niet beïnvloed.

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.