Microsoft đã giải quyết năm lỗ hổng bảo mật nghiêm trọng trong bản cập nhật Patch Tuesday tháng XNUMX, cùng với hai lỗ hổng zero-day được xếp hạng “quan trọng” đang bị tấn công tích cực trên thực tế.

Tổng cộng, Microsoft đã phát hành 59 bản vá mới giải quyết các lỗi trong phạm vi sản phẩm: Chúng ảnh hưởng đến Microsoft Windows, Exchange Server, Office, .NET và Visual Studio, Azure, Microsoft Dynamics và Windows Defender.

Bản cập nhật cũng kết hợp một số vấn đề của bên thứ ba, bao gồm cả lỗi được khai thác tích cực, lỗi zero-day nghiêm trọng của Chrome điều đó ảnh hưởng đến Microsoft Edge. Với các vấn đề bên ngoài, tổng số CVE là 65.

Bất chấp nhiều bản sửa lỗi, các nhà nghiên cứu lưu ý rằng việc ưu tiên vá lỗi khá đơn giản trong tháng này, với các lỗi và sự cố không có ngày, lỗi nghiêm trọng trong Microsoft Exchange Server và việc triển khai giao thức TCP/IP của Windows cần được ưu tiên trước. đường dây cho hầu hết các tổ chức.

Microsoft Zero-Days đang bị khai thác tích cực

Mặc dù hai trong số các CVE được liệt kê là đang được các tác nhân đe dọa sử dụng thực tế trước khi vá lỗi, nhưng chỉ có một CVE được liệt kê là được biết đến công khai. Cả hai đều phải nằm ở đầu danh sách để vá lỗi, vì những lý do rõ ràng.

Lỗi công khai được tìm thấy trong Microsoft Word (CVE-2023-36761, CVSS 6.2); nó được phân loại là một vấn đề “tiết lộ thông tin”, nhưng Dustin Childs, nhà nghiên cứu thuộc Sáng kiến ​​Zero Day (ZDI) của Trend Micro, lưu ý rằng điều này trái ngược với mức độ nghiêm trọng của nó.

“Kẻ tấn công có thể sử dụng lỗ hổng này để cho phép tiết lộ các giá trị băm NTLM, sau đó có thể sẽ được sử dụng trong một Tấn công kiểu chuyển tiếp NTLM,” anh ấy giải thích trong một ngày thứ Ba đăng bài về bản phát hành bản vá tháng XNUMX của Microsoft. “Bất kể phân loại như thế nào, khung xem trước ở đây cũng là một vectơ, có nghĩa là không cần có sự tương tác của người dùng. Chắc chắn đặt cái này lên đầu danh sách thử nghiệm và triển khai của bạn.

Ngày số XNUMX còn lại tồn tại trong hệ điều hành Windows (CVE-2023-36802, CVSS 7.8), cụ thể là trong proxy dịch vụ phát trực tuyến của Microsoft Stream (trước đây gọi là Office 365 Video). Theo lời khuyên, để khai thác thành công, kẻ tấn công sẽ cần chạy một chương trình được thiết kế đặc biệt cho phép leo thang đặc quyền lên đặc quyền của quản trị viên hoặc hệ thống.

Satnam Narang, kỹ sư nghiên cứu nhân viên cấp cao tại Tenable, nói với Dark Reading: “Đây là lỗ hổng zero-day đặc quyền nâng cao thứ tám được khai thác thực tế vào năm 2023”. “Bởi vì những kẻ tấn công có vô số cách để xâm phạm các tổ chức, chỉ cần có quyền truy cập vào một hệ thống có thể không phải lúc nào cũng đủ, đó là lúc việc nâng cao các lỗ hổng đặc quyền trở nên có giá trị hơn nhiều, đặc biệt là các lỗ hổng zero-day.”

Tháng 2023 năm XNUMX Các lỗ hổng nghiêm trọng

Khi nói đến các lỗi nghiêm trọng, một trong những điều đáng lo ngại hơn là CVE-2023-29332, được tìm thấy trong dịch vụ Azure Kubernetes của Microsoft. Nó có thể cho phép kẻ tấn công từ xa, không được xác thực đạt được Cụm Kubernetes đặc quyền quản trị.

Childs cảnh báo trong bài đăng của mình: “Cái này nổi bật vì nó có thể được truy cập từ Internet, không yêu cầu sự tương tác của người dùng và được liệt kê là có độ phức tạp thấp”. “Dựa trên khía cạnh từ xa, không được xác thực của lỗi này, điều này có thể tỏ ra khá hấp dẫn đối với những kẻ tấn công.”

Ba trong số các bản vá được đánh giá quan trọng là các sự cố RCE ảnh hưởng đến Visual Studio (CVE-2023-36792, CVE-2023-36793và CVE-2023-36796, tất cả đều có điểm CVSS là 7.8). Tất cả chúng đều có thể dẫn đến việc thực thi mã tùy ý khi mở tệp gói độc hại bằng phiên bản phần mềm bị ảnh hưởng.

“Với Visual Studio sử dụng rộng rãi giữa các nhà phát triển, tác động của các lỗ hổng như vậy có thể gây ra hiệu ứng domino, lan rộng tác hại ra ngoài hệ thống bị xâm nhập ban đầu,” Tom Bowyer, giám đốc bảo mật sản phẩm của Automox, nói trong một bài đăng. “Trong trường hợp xấu nhất, điều này có thể có nghĩa là hành vi trộm cắp hoặc làm hỏng mã nguồn độc quyền, giới thiệu các cửa sau hoặc giả mạo độc hại có thể biến ứng dụng của bạn thành bệ phóng để tấn công người khác.”

Vấn đề quan trọng cuối cùng là CVE-2023-38148 (CVSS 8.8, lỗi nghiêm trọng nhất mà Microsoft đã vá trong tháng này), cho phép thực thi mã từ xa không được xác thực thông qua chức năng Chia sẻ kết nối Internet (ICS) trong Windows. Rủi ro của nó được giảm thiểu do thực tế là kẻ tấn công cần phải ở gần mạng; hơn nữa, hầu hết các tổ chức không còn sử dụng ICS nữa. Tuy nhiên, những người vẫn đang sử dụng nó nên vá ngay lập tức.

Natalie Silva, kỹ sư an ninh mạng hàng đầu của Immersive Labs, cho biết: “Nếu những kẻ tấn công khai thác thành công lỗ hổng này thì có thể mất hoàn toàn tính bảo mật, tính toàn vẹn và tính khả dụng”. “Kẻ tấn công trái phép có thể khai thác lỗ hổng này bằng cách gửi gói mạng được chế tạo đặc biệt tới dịch vụ. Điều này có thể dẫn đến việc thực thi mã tùy ý, có khả năng dẫn đến truy cập trái phép, thao túng dữ liệu hoặc làm gián đoạn dịch vụ.”

Các bản vá khác của Microsoft cần ưu tiên

Bản cập nhật tháng XNUMX cũng bao gồm một loạt lỗi Microsoft Exchange Server được cho là “có nhiều khả năng bị khai thác hơn”.

Bộ ba vấn đề (CVE-2023-36744, CVE-2023-36745và CVE-2023-36756, tất cả đều có xếp hạng CVSS là 8.0) ảnh hưởng đến các phiên bản 2016-2019 và cho phép các cuộc tấn công RCE chống lại dịch vụ.

“Mặc dù không có cuộc tấn công nào trong số này dẫn đến RCE trên chính máy chủ, nhưng nó có thể cho phép kẻ tấn công liền kề mạng có thông tin xác thực hợp lệ thay đổi dữ liệu người dùng hoặc tạo ra hàm băm Net-NTLMv2 cho tài khoản người dùng được nhắm mục tiêu, do đó có thể bị bẻ khóa để khôi phục. mật khẩu người dùng hoặc chuyển tiếp nội bộ trong mạng để tấn công một dịch vụ khác,” Robert Reeves, kỹ sư an ninh mạng chính tại Immersive cho biết.

Ông cho biết thêm, “Nếu người dùng đặc quyền — những người có Quản trị viên miền hoặc các quyền tương tự trong mạng — có hộp thư được tạo trên Exchange, trái với lời khuyên bảo mật của Microsoft, thì một cuộc tấn công chuyển tiếp như vậy có thể gây ra hậu quả đáng kể.”

Và cuối cùng, các nhà nghiên cứu tại Automox đã đánh dấu lỗ hổng từ chối dịch vụ (DoS) trong Windows TCP/IP (CVE-2023-38149, CVSS 7.5) là một trong những ưu tiên.

Lỗi này ảnh hưởng đến bất kỳ hệ thống nối mạng nào và “cho phép kẻ tấn công thông qua vectơ mạng làm gián đoạn dịch vụ mà không cần bất kỳ xác thực người dùng nào hoặc độ phức tạp cao”, Automox CISO Jason Kikta, cho biết trong sự cố của Bản vá thứ ba. “Lỗ hổng này là mối đe dọa đáng kể… đối với bối cảnh kỹ thuật số. Những điểm yếu này có thể bị khai thác để làm quá tải máy chủ, làm gián đoạn hoạt động bình thường của mạng và dịch vụ, đồng thời khiến người dùng không thể sử dụng chúng.”

Tất cả những gì đã nói, các hệ thống bị vô hiệu hóa IPv6 sẽ không bị ảnh hưởng.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• ChartPrime. Nâng cao trò chơi giao dịch của bạn với ChartPrime. Truy cập Tại đây.
• BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/application-security/microsoft-patches-pair-of-actively-exploited-zero-days