от Microsoft Июльское обновление безопасности содержит исправления для колоссальных 130 уникальных уязвимостей, пять из которых злоумышленники уже активно используют в дикой природе.

Компания оценила девять недостатков как критические, а 121 из них — как средние или серьезные. Уязвимости затрагивают широкий спектр продуктов Microsoft, включая Windows, Office, .Net, Azure Active Directory, драйверы принтеров, сервер DMS и удаленный рабочий стол. Обновление содержало обычное сочетание недостатков удаленного выполнения кода (RCE), проблем обхода безопасности и повышения привилегий, ошибок раскрытия информации и уязвимостей отказа в обслуживании.

«Этот объем исправлений является самым высоким за последние несколько лет, хотя он"Нет ничего необычного в том, что Microsoft выпустила большое количество патчей прямо перед конференцией Black Hat USA», — сказал Дастин Чайлдс, исследователь безопасности в Trend Micro Zero Day Initiative (ZDI), в своем блоге.

По мнению исследователей безопасности, с точки зрения приоритетов исправлений пять нулевых дней, о которых Microsoft сообщила на этой неделе, заслуживают немедленного внимания.

Наиболее серьезным из них является CVE-2023-36884, ошибка удаленного выполнения кода (RCE) в Office и Windows HTML, для которой у Microsoft не было исправления в обновлении этого месяца. Компания идентифицировала группу угроз, которую она отслеживает, Storm-0978, как использующую уязвимость в фишинговой кампании, нацеленной на правительственные и оборонные организации в Северной Америке и Европе.

В кампании участвует злоумышленник, распространяющий через документы Windows бэкдор, получивший название RomCom, на темы, связанные со Всемирным конгрессом украинцев. «Шторм-0978"Целенаправленные операции затронули правительственные и военные организации в первую очередь в Украине, а также организации в Европе и Северной Америке, потенциально связанные с украинскими делами». Об этом говорится в блоге Microsoft. сообщение, которое сопровождало июльское обновление безопасности. «Выявленные атаки программ-вымогателей затронули, в частности, телекоммуникационную и финансовую отрасли».

Дастин Чайлдс, еще один исследователь из ZDI, предупредил организации, что CVE-2023-36884 следует рассматривать как «критическую» проблему безопасности, хотя сама Microsoft оценила ее как относительно менее серьезную и «важную» ошибку. «Microsoft предприняла странные действия, выпустив эту CVE. без патч. Что"все еще впереди», — написал Чайлдс в своем блоге. «Очевидно, там"в этом подвиге гораздо больше, чем говорят».

Две из пяти уязвимостей, которые активно эксплуатируются, — это недостатки обхода системы безопасности. Один влияет на Microsoft Outlook (CVE-2023-35311), а другой использует Windows SmartScreen (CVE-2023-32049). Обе уязвимости требуют взаимодействия с пользователем, а это означает, что злоумышленник сможет использовать их, только убедив пользователя щелкнуть вредоносный URL-адрес. С CVE-2023-32049 злоумышленник сможет обойти запрос «Открыть файл — предупреждение безопасности», а CVE-2023-35311 дает злоумышленникам возможность скрытно атаковать с помощью запроса «Уведомление о безопасности Microsoft Outlook».

«Важно отметить, что [CVE-2023-35311] специально позволяет обойти функции безопасности Microsoft Outlook и не позволяет выполнять удаленное выполнение кода или повышать привилегии», — сказал Майк Уолтерс, вице-президент по исследованию уязвимостей и угроз в Action1. «Поэтому злоумышленники, скорее всего, комбинируют его с другими эксплойтами для комплексной атаки. Уязвимость затрагивает все версии Microsoft Outlook, начиная с 2013 года», — отметил он в электронном письме Dark Reading.

Кев Брин, директор по исследованию киберугроз в Immersive Labs, оценил другой способ обхода безопасности нулевого дня. - CVE-2023-32049 — как еще одна ошибка, которую злоумышленники, скорее всего, будут использовать в рамках более широкой цепочки атак.

Два других нулевых дня в последнем наборе исправлений Microsoft позволяют повышать привилегии. Одну из них обнаружили исследователи из группы анализа угроз Google. Недостаток, отслеживаемый как CVE-2023-36874, представляет собой проблему повышения привилегий в службе отчетов об ошибках Windows (WER), которая дает злоумышленникам возможность получить административные права в уязвимых системах. Злоумышленнику потребуется локальный доступ к уязвимой системе, чтобы воспользоваться уязвимостью, которую он может получить с помощью других эксплойтов или неправомерного использования учетных данных.

«Служба WER — это функция операционных систем Microsoft Windows, которая автоматически собирает и отправляет отчеты об ошибках в Microsoft, когда определенное программное обеспечение дает сбой или сталкивается с другими типами ошибок», — сказал Том Бойер, исследователь безопасности в Automox. «Эта уязвимость нулевого дня активно эксплуатируется, поэтому, если ваша организация использует WER, мы рекомендуем установить исправление в течение 24 часов», — сказал он.

Другая ошибка повышения привилегий в июльском обновлении безопасности, которую злоумышленники уже активно используют, — это CVE-2023-32046 на платформе Microsoft Windows MSHTM, также известной как механизм рендеринга браузера «Trident». Как и многие другие ошибки, эта тоже требует определенного уровня взаимодействия с пользователем. В сценарии атаки по электронной почте для использования ошибки злоумышленнику необходимо отправить целевому пользователю специально созданный файл и заставить пользователя открыть его. По словам Microsoft, при атаке через Интернет злоумышленнику потребуется разместить вредоносный веб-сайт или использовать скомпрометированный веб-сайт для размещения специально созданного файла, а затем убедить жертву открыть его.

RCE в маршрутизации Windows, служба удаленного доступа

Исследователи безопасности указали на три уязвимости RCE в службе маршрутизации и удаленного доступа Windows (RRAS) (CVE-2023-35365, CVE-2023-35366и CVE-2023-35367) как заслуживающие первоочередного внимания, как и все. Microsoft оценила все три уязвимости как критические, и все три имеют оценку CVSS 9.8. По словам Бойера из Automox, эта служба по умолчанию недоступна в Windows Server и, по сути, позволяет компьютерам под управлением этой ОС функционировать в качестве маршрутизаторов, VPN-серверов и серверов коммутируемого доступа. «Успешный злоумышленник может изменить конфигурацию сети, украсть данные, перейти на другие более важные/важные системы или создать дополнительные учетные записи для постоянного доступа к устройству.

Недостатки сервера SharePoint

Гигантское июльское обновление Microsoft содержало исправления для четырех уязвимостей RCE в сервере SharePoint, который в последнее время стал популярной целью злоумышленников. Microsoft оценила две ошибки как «важные» (CVE-2023-33134 и CVE-2023-33159) а два других как «критические» (CVE-2023-33157 и CVE-2023-33160). «Все они требуют, чтобы злоумышленник прошел аутентификацию или пользователь выполнил действие, которое, к счастью, снижает риск взлома», — сказал Йоав Иеллин, старший научный сотрудник Silverfort. «Несмотря на это, поскольку SharePoint может содержать конфиденциальные данные и обычно предоставляется за пределами организации, те, кто использует локальные или гибридные версии, должны обновиться».

Организации, которые должны соблюдать такие правила, как FEDRAMP, PCI, HIPAA, SOC2 и аналогичные правила, должны обратить внимание на CVE-2023-35332: Обход функции безопасности протокола удаленного рабочего стола Windows, сказал Дор Дали, руководитель отдела исследований Cyolo. По его словам, уязвимость связана с использованием устаревших и устаревших протоколов, в том числе Datagram Transport Layer Security (DTLS) версии 1.0, что представляет существенный риск для безопасности и соответствия требованиям для организаций. По его словам, в ситуациях, когда организация не может немедленно выполнить обновление, им следует отключить поддержку UDP в шлюзе RDP.

Кроме того, Microsoft опубликовал консультативный о своем расследовании недавних сообщений о злоумышленниках, использующих драйверы, сертифицированные Microsoft"s Программа Windows Hardware Developer Program (MWHDP) в активности после эксплойта.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
• Источник: https://www.darkreading.com/application-security/microsoft-discloses–zero-days-in-voluminous-july-security-update