Aanvallers maken misbruik van Microsoft Security en omzeilen Zero-Day Bugs

De geplande Patch Tuesday-beveiligingsupdate van Microsoft voor februari bevat oplossingen voor twee zero-day-beveiligingsproblemen die actief worden aangevallen, plus 71 andere fouten in een breed scala van zijn producten.

In totaal werden vijf van de kwetsbaarheden waarvoor Microsoft in februari een patch uitbracht, beoordeeld als kritiek, 66 als belangrijk en twee als matig.

De update bevat patches voor Microsoft Office, Windows, Microsoft Exchange Server, de op Chromium gebaseerde Edge-browser van het bedrijf, Azure Active Directory, Microsoft Defender for Endpoint en Skype voor bedrijven. Tenable identificeerde 30 van de 73 CVE’s als kwetsbaarheden voor het uitvoeren van externe code (RCE); 16 als het mogelijk maken van privilege-escalatie; 10 als gekoppeld aan spoofing-fouten; negen omdat ze gedistribueerde denial-of-service-aanvallen mogelijk maken; vijf als tekortkomingen in de openbaarmaking van informatie; en drie als problemen met het omzeilen van de beveiliging.

Water Hydra exploiteert Zero-Days gericht op financiële handelaren

Een bedreigingsacteur genaamd Water Hydra (ook bekend als Dark Casino) maakt momenteel gebruik van een van de zero-day-kwetsbaarheden – een Beveiligingsfunctie Internet Shortcut Files omzeilt kwetsbaarheid gevolgd als CVE-2024-21412 (CVSS 8.1) — in een kwaadaardige campagne gericht op organisaties in de financiële sector.

Onderzoekers van Trend Micro – onder velen die de fout ontdekten en aan Microsoft rapporteerden – beschreven dat deze verband hield met het omzeilen van een eerder gepatchte SmartScreen-kwetsbaarheid (CVE-2023-36025, CVSS 8.8) en is van invloed op alle ondersteunde Windows-versies. Acteurs van Water Hydra gebruiken CVE-2024-21412 om initiële toegang te krijgen tot systemen van financiële handelaren en de DarkMe Trojan voor externe toegang op hen te plaatsen.

Om de kwetsbaarheid te misbruiken, moet een aanvaller eerst een kwaadaardig bestand aan een beoogde gebruiker afleveren en deze het laten openen, zegt Saeed Abbasi, manager van kwetsbaarheidsonderzoeker bij Qualys, in een commentaar per e-mail. “De impact van deze kwetsbaarheid is diepgaand, waardoor de veiligheid in gevaar komt en het vertrouwen in beschermingsmechanismen zoals SmartScreen wordt ondermijnd”, aldus Abbasi.

SmartScreen omzeil Zero-Day

De andere zero-day die Microsoft in de beveiligingsupdate van deze maand bekendmaakte, heeft gevolgen voor Defender SmartScreen. Volgens Microsoft is CVE-2024-21351 is een bug van gemiddelde ernst waarmee een aanvaller SmartScreen-beveiligingen kan omzeilen en er code in kan injecteren om mogelijk externe code-uitvoeringsmogelijkheden te verkrijgen. Een succesvolle exploit zou kunnen leiden tot beperkte gegevensblootstelling, problemen met de beschikbaarheid van systemen, of beide, aldus Microsoft. Er zijn geen details beschikbaar over wie de bug precies misbruikt en met welk doel.

In voorbereide commentaren voor Dark Reading zei Mike Walters, president en mede-oprichter van Action1, dat de kwetsbaarheid verband houdt met de manier waarop Microsoft's Mark of the Web (een functie voor het identificeren van niet-vertrouwde inhoud van internet) interageert met de SmartScreen-functie. "Voor dit beveiligingslek moet een aanvaller een kwaadaardig bestand naar een gebruiker verspreiden en hem ertoe overhalen het te openen, waardoor hij de SmartScreen-controles kan omzeilen en mogelijk de veiligheid van het systeem in gevaar kan brengen", aldus Walters.

Bugs met hoge prioriteit

Van de vijf kritieke kwetsbaarheden in de update van februari is er één die prioriteit verdient CVE-2024-21410, een kwetsbaarheid bij escalatie van bevoegdheden in Exchange Server, een favoriet doelwit voor aanvallers. Een aanvaller kan de bug gebruiken om de Net-New Technology LAN Manager (NTLM) versie 2-hash van een gerichte gebruiker vrij te geven en die referentie vervolgens door te geven aan een getroffen Exchange Server en zich bij deze gebruiker te authenticeren.

Dergelijke gebreken die gevoelige informatie zoals NTLM-hashes vrijgeven, kunnen zeer waardevol zijn voor aanvallers, zegt Satnam Narang, senior stafonderzoeksingenieur bij Tenable in een verklaring. “Een in Rusland gevestigde bedreigingsacteur maakte gebruik van een soortgelijke kwetsbaarheid om aanvallen uit te voeren – CVE-2023-23397 is een kwetsbaarheid voor misbruik van bevoegdheden in Microsoft Outlook die in maart 2023 is gepatcht”, zei hij.

Om de fout te verhelpen, moeten Exchange-beheerders ervoor zorgen dat ze de Exchange Server 2019 Cumulative Update 14 (CU14)-update hebben geïnstalleerd en ervoor zorgen dat de Extended Protection for Authentication (EPA)-functie is ingeschakeld, aldus Trend Micro. De beveiligingsleverancier wees op een artikel dat Microsoft heeft gepubliceerd die aanvullende informatie biedt over hoe u de kwetsbaarheid kunt patchen.

Microsoft heeft CVE-2024-21410 een maximale ernstbeoordeling van 9.1 op 10 toegekend, waardoor het een kritieke kwetsbaarheid is. Maar doorgaans hebben privilege-escalatiekwetsbaarheden de neiging relatief laag te scoren op de CVSS-kwetsbaarheidsbeoordelingsschaal, wat de ware aard van de dreiging die ze vormen logenstraft, zegt Kev Breen, senior directeur dreigingsonderzoek bij Immersive Labs. “Ondanks hun lage score zijn [privilege-escalatie] kwetsbaarheden zeer gewild bij bedreigingsactoren en worden ze bij bijna elk cyberincident gebruikt”, zei Breen in een verklaring. “Zodra een aanvaller toegang heeft tot een gebruikersaccount via social engineering of een andere aanval, zal hij of zij vervolgens proberen zijn rechten te escaleren naar de lokale beheerder of domeinbeheerder.”

Walters van Action1 uitgelicht CVE-2024-21413, een RCE-fout in Microsoft Outlook als een kwetsbaarheid die beheerders mogelijk prioriteit willen geven vanaf de batch van februari. De kritieke ernstfout met een bijna maximale ernstscore van 9.8 betreft een lage aanvalscomplexiteit, geen gebruikersinteractie en geen speciale rechten die een aanvaller nodig heeft om er misbruik van te maken. “Een aanvaller kan misbruik maken van dit beveiligingslek via het voorbeeldvenster in Outlook, waardoor hij Office Protected View kan omzeilen en bestanden kan forceren om te openen in de bewerkingsmodus, in plaats van in de veiliger beschermde modus”, aldus Walters.

Microsoft heeft de kwetsbaarheid zelf geïdentificeerd als iets dat aanvallers minder snel zullen aanvallen. Niettemin zegt Walters dat de kwetsbaarheid een substantiële bedreiging vormt voor organisaties en onmiddellijke aandacht vereist.

Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
Bron: https://www.darkreading.com/vulnerabilities-threats/attackers-exploit-microsoft-security-bypass-zero-day-bugs

Generatieve data-intelligentie

Aanvallers maken misbruik van Microsoft Security en omzeilen Zero-Day Bugs

Water Hydra exploiteert Zero-Days gericht op financiële handelaren

SmartScreen omzeil Zero-Day

Bugs met hoge prioriteit

Wetenschappers schudden lithiumextractie op met een ander soort chemie: CleanTechnica

Waarom verspreidt PBS anti-EV FUD? – CleanTechnica

Laatste intelligentie

Bitcoin leidt 30-daagse NFT-verkopen en overtreft 24 Blockchain-concurrenten

De geweldige technische verhalen van deze week van overal op internet (tot en met 27 april)

Prioriteit geven aan first-mover-voordeel boven beveiliging zorgt ervoor dat defi-protocollen kwetsbaar zijn voor hacks – Nikita Ovchinnik

HKTDC onthult evenementen voor geschenken, drukwerk, verpakkingen en licenties

Carlie Hanson brengt hulde met haar oprechte cover van Alice In Chains' 'Nutshell'

Hyundai gaat meer hybrides bouwen om de afnemende vraag naar elektrische voertuigen aan te vullen – Autoblog