Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Microsoft Patch Tuesday: 36 RCE-bugs, 3 zero-days, 75 CVE's

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 131
by Paul Ducklin

Het ontcijferen van de ambtenaar van Microsoft Update Gids webpagina's is niet voor angsthazen.

De meeste informatie die je nodig hebt, zo niet alles wat je echt zou willen weten, is aanwezig, maar er is zo'n duizelingwekkend aantal manieren om het te bekijken, en er zijn zoveel direct gegenereerde pagina's nodig om het weer te geven, dat het lastig kan zijn om erachter te komen wat echt nieuw is en wat echt belangrijk is.

Moet u zoeken op de betrokken besturingssysteemplatforms?

Door de ernst van de kwetsbaarheden? Door de waarschijnlijkheid van uitbuiting?

Moet je de nuldagen bovenaan sorteren?

(We denken van niet - we denken dat er drie nuldagen in de lijst van deze maand staan, maar we moesten inzoomen op individuele CVE-pagina's en zoeken naar de tekst “Uitbuiting geconstateerd” om er zeker van te zijn dat een specifieke bug al bekend was bij cybercriminelen.)

Wat is erger, een EoP of een RCE?

Is een kritisch Elevation of Privilege (EoP) bug alarmerender dan een belangrijk uitvoering van externe code (RCE)?

Het eerste type bug vereist dat cybercriminelen eerst inbreken, maar geeft ze waarschijnlijk een manier om het volledig over te nemen, waarbij ze meestal het equivalent krijgen van sysadmin-bevoegdheden of controle op besturingssysteemniveau.

Het tweede type bug kan alleen de boeven binnenhalen met de nederige toegangsprivileges van de kleine oude jij, maar het zorgt er toch voor dat ze in de eerste plaats op het netwerk terechtkomen.

Natuurlijk, terwijl alle anderen opgelucht zouden kunnen slaken als een aanvaller geen toegang tot hun spullen kon krijgen, is dat een koude troost voor jou, als jij degene bent die werd aangevallen.

We hebben 75 CVE-genummerde bugs geteld van 2023-02-14, gezien het feit dat de februari-updates van dit jaar op Valentijnsdag zijn aangekomen.

(Eigenlijk houden we van 76, maar we negeerden één bug die geen ernstclassificatie had, was getagd CVE-2019-15126, en lijkt neer te komen op een rapport over niet-ondersteunde Broadcom Wi-Fi-chips in Microsoft Hololens-apparaten - als je een Hololens hebt en advies hebt voor andere lezers, laat het ons dan weten in de reacties hieronder.)

We hebben een lijst geëxtraheerd en hieronder toegevoegd, gesorteerd zodat de bugs zijn nagesynchroniseerd kritisch staan ​​bovenaan (er zijn er zeven, allemaal RCE-klasse bugs).

U kunt ook de lezen SophosLabs analyse van Patch Tuesday voor meer details.

Beveiligingsbugklassen uitgelegd

Als u niet bekend bent met de onderstaande afkortingen voor bugs, vindt u hier een snelle gids voor beveiligingsfouten:

  • RCE betekent uitvoering van externe code. Aanvallers die momenteel niet zijn aangemeld bij uw computer, kunnen deze misleiden om een ​​fragment van een programmacode uit te voeren, of zelfs een volledig programma, alsof ze geverifieerde toegang hebben. Meestal gebruiken de criminelen dit soort bugs op desktops of servers om code te implanteren waarmee ze in de toekomst weer naar believen kunnen binnendringen, waardoor ze een bruggenhoofd creëren van waaruit ze een netwerkbrede aanval kunnen starten. Op mobiele apparaten zoals telefoons kunnen de boeven RCE-bugs gebruiken om spyware achter te laten die u vanaf dat moment zal volgen, zodat ze niet steeds opnieuw hoeven in te breken om hun boze ogen op u gericht te houden.
  • EoP betekent Verhoging van Privilege. Zoals hierboven vermeld, betekent dit dat boeven hun toegangsrechten kunnen vergroten, waarbij ze doorgaans dezelfde soort bevoegdheden krijgen die een officiële systeembeheerder of de besturing zelf gewoonlijk zou genieten. Als ze eenmaal bevoegdheden op systeemniveau hebben, kunnen ze vaak vrij rondlopen op uw netwerk, beveiligde bestanden stelen, zelfs van servers met beperkte toegang, verborgen gebruikersaccounts maken om later weer toegang te krijgen, of uw hele IT-bezit in kaart brengen ter voorbereiding op een ransomware-aanval.
  • Lekken betekent dat beveiligingsgerelateerde of privégegevens uit de beveiligde opslag kunnen ontsnappen. Soms kunnen zelfs ogenschijnlijk kleine lekken, zoals de locatie van specifieke besturingssysteemcode in het geheugen, die een aanvaller niet zou kunnen voorspellen, criminelen de informatie geven die ze nodig hebben om een ​​waarschijnlijk mislukte aanval om te zetten in een vrijwel zeker succesvolle aanval. een.
  • Bypass betekent dat een beveiliging die u normaal gesproken zou verwachten om u veilig te houden, kan worden omzeild. Oplichters maken doorgaans gebruik van omzeilingskwetsbaarheden om u te misleiden zodat u externe inhoud, zoals e-mailbijlagen, vertrouwt, bijvoorbeeld door een manier te vinden om de "inhoudswaarschuwingen" te omzeilen of om de malwaredetectie te omzeilen die u zou moeten beschermen.
  • Spoof betekent dat inhoud betrouwbaarder kan worden gemaakt dan hij in werkelijkheid is. Aanvallers die u bijvoorbeeld naar een nepwebsite lokken die in uw browser verschijnt met een officiële servernaam in de adresbalk (of wat lijkt op de adresbalk), zullen u waarschijnlijk misleiden om persoonlijke gegevens te overhandigen dan wanneer ze ' gedwongen om hun nep-inhoud op een site te plaatsen die duidelijk niet degene is die je zou verwachten.
  • DoS betekent Denial of Service. Bugs die ervoor zorgen dat netwerk- of serverservices tijdelijk offline kunnen worden gehaald, worden vaak als laagwaardige fouten beschouwd, ervan uitgaande dat de bug dan aanvallers niet in staat stelt in te breken, gegevens te stelen of toegang te krijgen tot iets wat ze niet zouden moeten doen. Maar aanvallers die op betrouwbare wijze delen van uw netwerk kunnen uitschakelen, kunnen dit mogelijk keer op keer op een gecoördineerde manier doen, bijvoorbeeld door hun DoS-sondes zo te timen dat ze worden uitgevoerd telkens wanneer uw gecrashte servers opnieuw opstarten. Dit kan extreem storend zijn, vooral als u een online bedrijf runt, en het kan ook worden gebruikt als afleiding om de aandacht af te leiden van andere illegale activiteiten die de boeven tegelijkertijd op uw netwerk uitvoeren.

De grote buglijst

De lijst met 75 bugs is hier, met de drie zero-days die we kennen gemarkeerd met een asterisk (*):

NIST ID Level Type Component affected
--------------- ----------- ------ ----------------------------------------
CVE-2023-21689: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21690: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21692: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21716: (Critical) RCE Microsoft Office Word CVE-2023-21803: (Critical) RCE Windows iSCSI CVE-2023-21815: (Critical) RCE Visual Studio CVE-2023-23381: (Critical) RCE Visual Studio CVE-2023-21528: (Important) RCE SQL Server CVE-2023-21529: (Important) RCE Microsoft Exchange Server CVE-2023-21568: (Important) RCE SQL Server CVE-2023-21684: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21685: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21686: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21694: (Important) RCE Windows Fax and Scan Service CVE-2023-21695: (Important) RCE Windows Protected EAP (PEAP) CVE-2023-21703: (Important) RCE Azure Data Box Gateway CVE-2023-21704: (Important) RCE SQL Server CVE-2023-21705: (Important) RCE SQL Server CVE-2023-21706: (Important) RCE Microsoft Exchange Server CVE-2023-21707: (Important) RCE Microsoft Exchange Server CVE-2023-21710: (Important) RCE Microsoft Exchange Server CVE-2023-21713: (Important) RCE SQL Server CVE-2023-21718: (Important) RCE SQL Server CVE-2023-21778: (Important) RCE Microsoft Dynamics CVE-2023-21797: (Important) RCE Windows ODBC Driver CVE-2023-21798: (Important) RCE Windows ODBC Driver CVE-2023-21799: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21801: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21802: (Important) RCE Microsoft Windows Codecs Library CVE-2023-21805: (Important) RCE Windows MSHTML Platform CVE-2023-21808: (Important) RCE .NET and Visual Studio CVE-2023-21820: (Important) RCE Windows Distributed File System (DFS) CVE-2023-21823: (Important) *RCE Microsoft Graphics Component
CVE-2023-23377: (Important) RCE 3D Builder CVE-2023-23378: (Important) RCE 3D Builder CVE-2023-23390: (Important) RCE 3D Builder CVE-2023-21566: (Important) EoP Visual Studio CVE-2023-21688: (Important) EoP Windows ALPC CVE-2023-21717: (Important) EoP Microsoft Office SharePoint CVE-2023-21777: (Important) EoP Azure App Service CVE-2023-21800: (Important) EoP Windows Installer CVE-2023-21804: (Important) EoP Microsoft Graphics Component CVE-2023-21812: (Important) EoP Windows Common Log File System Driver CVE-2023-21817: (Important) EoP Windows Kerberos CVE-2023-21822: (Important) EoP Windows Win32K CVE-2023-23376: (Important) *EoP Windows Common Log File System Driver CVE-2023-23379: (Important) EoP Microsoft Defender for IoT CVE-2023-21687: (Important) Leak Windows HTTP.sys CVE-2023-21691: (Important) Leak Windows Protected EAP (PEAP) CVE-2023-21693: (Important) Leak Microsoft PostScript Printer Driver CVE-2023-21697: (Important) Leak Internet Storage Name Service CVE-2023-21699: (Important) Leak Internet Storage Name Service CVE-2023-21714: (Important) Leak Microsoft Office CVE-2023-23382: (Important) Leak Azure Machine Learning CVE-2023-21715: (Important) *Bypass Microsoft Office Publisher CVE-2023-21809: (Important) Bypass Microsoft Defender for Endpoint CVE-2023-21564: (Important) Spoof Azure DevOps CVE-2023-21570: (Important) Spoof Microsoft Dynamics CVE-2023-21571: (Important) Spoof Microsoft Dynamics CVE-2023-21572: (Important) Spoof Microsoft Dynamics CVE-2023-21573: (Important) Spoof Microsoft Dynamics CVE-2023-21721: (Important) Spoof Microsoft Office OneNote CVE-2023-21806: (Important) Spoof Power BI CVE-2023-21807: (Important) Spoof Microsoft Dynamics CVE-2023-21567: (Important) DoS Visual Studio CVE-2023-21700: (Important) DoS Windows iSCSI CVE-2023-21701: (Important) DoS Windows Protected EAP (PEAP) CVE-2023-21702: (Important) DoS Windows iSCSI CVE-2023-21722: (Important) DoS .NET Framework CVE-2023-21811: (Important) DoS Windows iSCSI CVE-2023-21813: (Important) DoS Windows Cryptographic Services CVE-2023-21816: (Important) DoS Windows Active Directory CVE-2023-21818: (Important) DoS Windows SChannel CVE-2023-21819: (Important) DoS Windows Cryptographic Services CVE-2023-21553: (Unknown ) RCE Azure DevOps

Wat te doen?

Zakelijke gebruikers geven graag prioriteit aan patches, in plaats van ze allemaal tegelijk te doen en te hopen dat er niets kapot gaat; daarom plaatsen we de kritisch bugs bovenaan, samen met de RCE-gaten, aangezien RCE's doorgaans door boeven worden gebruikt om voet aan de grond te krijgen.

Uiteindelijk moeten echter alle bugs worden gepatcht, vooral nu de updates beschikbaar zijn en aanvallers kunnen beginnen met "achterwaarts werken" door uit de patches te proberen te achterhalen wat voor soort gaten er waren voordat de updates uitkwamen.

Reverse engineering Windows-patches kunnen tijdrovend zijn, niet in de laatste plaats omdat Windows een closed-source besturingssysteem is, maar het is een stuk eenvoudiger om erachter te komen hoe bugs werken en hoe je ze kunt misbruiken als je een goed idee hebt waar je moet beginnen kijken en waar je op moet letten.

Hoe eerder je vooruit komt (of hoe sneller je inhaalt, in het geval van zero-day holes, wat bugs zijn die de boeven als eerste vonden), hoe kleiner de kans dat jij degene bent die wordt aangevallen.

Dus zelfs als je niet alles in één keer patcht, zeggen we toch: Wacht niet langer / Begin vandaag nog!

LEES DE SOPHOSLABS-ANALYSE VAN PATCH DINSDAG VOOR MEER DETAILS

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.