Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Microsoft Zero-Days cho phép vượt qua bộ bảo vệ, nâng cao đặc quyền

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 173

Microsoft đã phát hành các bản sửa lỗi cho tổng cộng 63 lỗi trong bản cập nhật tháng 2023 năm XNUMX, trong đó có XNUMX lỗi mà các tác nhân đe dọa đang tích cực khai thác và XNUMX lỗi đã được tiết lộ trước đó nhưng chưa được khai thác.

Từ quan điểm số liệu thô, bản cập nhật tháng 112 của Microsoft nhỏ hơn đáng kể so với bản cập nhật tháng XNUMX, vốn chứa các bản sửa lỗi cho XNUMX CVE khổng lồ. Bản cập nhật tháng này cũng bao gồm ít lỗ hổng nghiêm trọng hơn – ba lỗ hổng – so với những tháng gần đây. Microsoft đã đánh giá tất cả ngoại trừ bốn CVE còn lại trong bản cập nhật tháng XNUMX là ở mức độ nghiêm trọng vừa phải hoặc quan trọng.

Bộ ba Zero-Days mà những kẻ tấn công đang tích cực khai thác

Như mọi khi, cách các tổ chức ưu tiên vá các bộ lỗi mới nhất sẽ phụ thuộc vào nhiều yếu tố. Chúng bao gồm mức độ phổ biến của các lỗ hổng trong môi trường cụ thể của chúng, tài sản bị ảnh hưởng, khả năng tiếp cận của những tài sản đó, khả năng khai thác dễ dàng và các cân nhắc khác.

Tuy nhiên, giống như mọi bản cập nhật hàng tháng của Microsoft, có một số lỗi trong đợt cập nhật mới nhất mà các chuyên gia bảo mật đồng ý rằng đáng được chú ý hơn những lỗi khác. Ba lỗi zero-day được khai thác tích cực phù hợp với loại đó.

Một trong số đó là CVE-2023-36036, một lỗ hổng leo thang đặc quyền trong Windows Cloud Files Mini Filter Driver của Microsoft, cung cấp cho kẻ tấn công một cách để có được các đặc quyền cấp hệ thống. Microsoft đã đánh giá lỗ hổng này là mối đe dọa ở mức độ vừa phải - hoặc quan trọng - nhưng lại cung cấp tương đối ít thông tin chi tiết khác về vấn đề này. Satnam Narang, kỹ sư nghiên cứu nhân viên cấp cao tại Tenable, đã xác định lỗi này là thứ có thể sẽ được các tác nhân đe dọa từ quan điểm hoạt động sau thỏa hiệp. Kẻ tấn công yêu cầu quyền truy cập cục bộ vào hệ thống bị ảnh hưởng để khai thác lỗi. Việc khai thác ít phức tạp, tương tác với người dùng hoặc đặc quyền.

Saeed Abbasi, người quản lý nghiên cứu lỗ hổng và mối đe dọa tại Qualys cho biết, Windows Cloud Files Mini Filter Driver là một thành phần cần thiết cho hoạt động của các tệp được lưu trữ trên đám mây trên hệ thống Windows. “Sự hiện diện rộng rãi của trình điều khiển này trong hầu hết các phiên bản Windows đã làm tăng thêm rủi ro, tạo ra một bề mặt tấn công rộng rãi. Nó hiện đang bị tấn công tích cực và gây ra rủi ro đáng kể, đặc biệt là khi kết hợp với lỗi thực thi mã”, Abbasi nói.

Lỗi zero-day khác trong bản cập nhật tháng XNUMX của Microsoft là CVE-2023-36033, một lỗ hổng leo thang đặc quyền trong thành phần Thư viện lõi Windows DWM. Lỗ hổng này cũng cho phép truy cập vào các đặc quyền cấp hệ thống trên các hệ thống bị ảnh hưởng và tương đối dễ khai thác. Mike Walters, chủ tịch và đồng sáng lập của Action1, cho biết: “Lỗ hổng này có thể bị khai thác cục bộ, với độ phức tạp thấp và không cần đặc quyền cấp cao hoặc tương tác của người dùng”. đã viết trong một bài đăng blog. Walters lưu ý rằng lỗi này sẽ hữu ích đối với kẻ tấn công đã có quyền truy cập ban đầu vào hệ thống.

Abbasi cho biết: “Hiện tại, lỗ hổng này đang bị tấn công tích cực, cho thấy ứng dụng trong thế giới thực của các tác nhân độc hại”. “Mặc dù phạm vi toàn diện của các cuộc tấn công mạng này vẫn chưa được xác định đầy đủ, nhưng các mô hình lịch sử cho thấy chúng thường bắt đầu bằng những sự cố nhỏ và dần dần leo thang về quy mô.”

Lỗi zero-day thứ ba, CVE-2023-36025, là một lỗ hổng bảo mật giúp kẻ tấn công có thể vượt qua Windows Defender SmartScreen kiểm tra cảnh báo về các trang web độc hại cũng như các tệp và ứng dụng rủi ro hoặc không được nhận dạng.

Theo Narang của Tenable, đây là lỗ hổng zero-day thứ ba của Windows SmartScreen được khai thác rộng rãi vào năm 2023 và là lỗ hổng thứ tư trong hai năm qua.

Walters viết trong bài đăng trên blog rằng kẻ tấn công từ xa có thể khai thác lỗ hổng qua mạng với một chút phức tạp và không cần sự tương tác của người dùng. Walters cho biết thêm, với điểm CVSS là 8.8 trên điểm tối đa 10, CVE-2023-36025 là điều mà các tổ chức không cần phải chú ý tới. “Với xếp hạng CVSS cao và thực tế là nó đang được khai thác tích cực, điều này khiến CVE-2023-36025 trở thành một trong những lỗ hổng cần được ưu tiên vá.”

Hai lỗi - CVE-2023-36038, lỗ hổng từ chối dịch vụ ảnh hưởng đến ASP.NET Core và CVE-2023-36413, lỗ hổng bỏ qua tính năng bảo mật trong Microsoft Office - đã được tiết lộ công khai trước Bản vá Thứ Ba của tháng XNUMX nhưng vẫn chưa được khai thác.

Lỗi nghiêm trọng nghiêm trọng

Ba lỗ hổng trong bản cập nhật tháng XNUMX được Microsoft đánh giá ở mức độ nghiêm trọng nghiêm trọng là: CVE-2023-36397, một phương thức thực thi mã từ xa (RCE) trong giao thức Windows Pragmatic General Multicast để truyền dữ liệu multicast; CVE-2023-36400, lỗi nâng cao đặc quyền trong tính năng Dẫn xuất khóa HMAC của Windows; Và CVE-2023-36052, một lỗ hổng tiết lộ thông tin trong thành phần Azure.

Trong số ba lỗi nghiêm trọng, CVE-2023-36052 có lẽ là vấn đề mà các tổ chức cần ưu tiên, John Gallagher, phó chủ tịch Viakoo Labs tại Viakoo, cho biết. Lỗi này cho phép kẻ tấn công sử dụng các lệnh giao diện dòng lệnh phổ biến để có quyền truy cập vào thông tin xác thực văn bản gốc: tên người dùng và mật khẩu. Gallagher cho biết: “Những thông tin xác thực này có thể sử dụng được trong các môi trường khác ngoài Azure DevOps hoặc GitHub và do đó tạo ra rủi ro bảo mật khẩn cấp”.

Trong Trung tâm Bão Internet SANS blog đăng bài, Johannes Ullrich, trưởng khoa nghiên cứu của Viện Công nghệ SANS, đã chỉ ra vấn đề trong Pragmatic General Multicast là một vấn đề cần theo dõi. “CVE-2023-36397, một lỗ hổng thực thi mã từ xa trong giao thức Windows Pragmatic General Multicast (PGM), rất đáng chú ý vì chúng tôi đã có bản vá cho vấn đề này trong những tháng trước,” Ullrich viết. “Nhưng việc khai thác sẽ khó khăn. Nó sẽ yêu cầu quyền truy cập mạng cục bộ và thường không được kích hoạt.”

Jason Kitka, CISO của Automox, cũng chỉ ra một lỗ hổng đặc quyền ở mức độ nghiêm trọng trung bình (CVE-2023-36422) là một lỗi mà các nhóm bảo mật không nên bỏ qua. Mặc dù Microsoft đã phân loại lỗi này là một vấn đề “Quan trọng”, nhưng mối đe dọa mà nó mang lại là rất nghiêm trọng vì kẻ tấn công có thể giành được các đặc quyền hệ thống bằng cách khai thác lỗ hổng, Kitka viết trong một báo cáo. blog đăng bài. Ông viết: “Chiến lược giảm thiểu hiệu quả nhất chống lại mối đe dọa như vậy là áp dụng kịp thời các bản vá có sẵn và đảm bảo chúng được cập nhật”.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.