Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Microsoft Patch Tuesday: 36 lỗi RCE, 3 zero-day, 75 CVE

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 131
by Paul Ducklin

Giải mã chính thức của Microsoft Hướng dẫn cập nhật các trang web không dành cho những người yếu tim.

Hầu hết thông tin bạn cần, nếu không muốn nói là mọi thứ bạn thực sự muốn biết, đều có ở đó, nhưng có quá nhiều cách để xem thông tin đó và cần có rất nhiều trang được tạo nhanh để hiển thị thông tin đó, rằng có thể khó để tìm ra điều gì thực sự mới và điều gì thực sự quan trọng.

Bạn có nên tìm kiếm theo nền tảng hệ điều hành bị ảnh hưởng?

Bởi mức độ nghiêm trọng của các lỗ hổng? Bởi khả năng khai thác?

Bạn có nên sắp xếp các ngày không lên đầu không?

(Chúng tôi không nghĩ bạn có thể – chúng tôi nghĩ rằng có ba ngày không trong danh sách của tháng này, nhưng chúng tôi phải đi sâu vào các trang CVE riêng lẻ và tìm kiếm văn bản “Phát hiện khai thác” để chắc chắn rằng tội phạm mạng đã biết một lỗi cụ thể.)

Điều gì tệ hơn, EoP hay RCE?

Là một Quan trọng lỗi nâng cao đặc quyền (EoP) đáng báo động hơn một Quan trọng thực thi mã từ xa (RCE)?

Loại lỗi trước đây yêu cầu tội phạm mạng phải xâm nhập trước, nhưng có thể cung cấp cho chúng một cách để chiếm quyền kiểm soát hoàn toàn, điển hình là cung cấp cho chúng quyền tương đương với quyền quản trị hệ thống hoặc quyền kiểm soát ở cấp hệ điều hành.

Loại lỗi thứ hai có thể chỉ khiến kẻ gian xâm nhập bằng các đặc quyền truy cập thấp của bạn, nhưng nó vẫn đưa chúng vào mạng ngay từ đầu.

Tất nhiên, trong khi những người khác có thể thở phào nhẹ nhõm nếu kẻ tấn công không thể truy cập vào nội dung của họ, thì đó là sự an ủi lạnh lùng dành cho bạn, nếu bạn là người đã bị tấn công.

Chúng tôi đã đếm được 75 lỗi được đánh số CVE vào ngày 2023/02/14, vì các bản cập nhật tháng XNUMX năm nay đến vào Ngày lễ tình nhân.

(Thực ra, chúng tôi thích 76, nhưng chúng tôi đã bỏ qua một lỗi không có mức độ nghiêm trọng, được gắn thẻ CVE-2019-15126và dường như tập trung vào một báo cáo về chip Wi-Fi Broadcom không được hỗ trợ trong các thiết bị Microsoft Hololens – nếu bạn có Hololens và có bất kỳ lời khuyên nào cho những độc giả khác, vui lòng cho chúng tôi biết trong phần nhận xét bên dưới.)

Chúng tôi đã trích xuất một danh sách và bao gồm nó bên dưới, được sắp xếp để các lỗi được đặt tên Quan trọng đứng đầu (có bảy lỗi, tất cả đều là lỗi cấp RCE).

Bạn cũng có thể đọc SophosLabs phân tích của Patch Thứ ba để biết thêm chi tiết.

Các lớp lỗi bảo mật được giải thích

Nếu bạn không quen thuộc với các từ viết tắt lỗi được hiển thị bên dưới, đây là hướng dẫn nhanh về các lỗi bảo mật:

  • RCE có nghĩa là Thực thi mã từ xa. Những kẻ tấn công hiện chưa đăng nhập vào máy tính của bạn có thể lừa máy tính chạy một đoạn mã chương trình hoặc thậm chí là một chương trình hoàn chỉnh, như thể chúng có quyền truy cập được xác thực. Thông thường, trên máy tính để bàn hoặc máy chủ, bọn tội phạm sử dụng loại lỗi này để cấy mã cho phép chúng quay lại theo ý muốn trong tương lai, do đó thiết lập một đầu mối để từ đó bắt đầu một cuộc tấn công trên toàn mạng. Trên các thiết bị di động như điện thoại, kẻ gian có thể sử dụng các lỗi RCE để để lại phần mềm gián điệp sẽ theo dõi bạn từ đó trở đi, vì vậy chúng không cần phải đột nhập nhiều lần để theo dõi bạn.
  • EoP có nghĩa là Độ cao của Đặc quyền. Như đã đề cập ở trên, điều này có nghĩa là kẻ gian có thể tăng quyền truy cập của chúng, thường có được cùng loại quyền hạn mà một quản trị viên hệ thống chính thức hoặc bản thân hoạt động thường được hưởng. Sau khi có quyền hạn ở cấp hệ thống, chúng thường có thể tự do chuyển vùng trên mạng của bạn, đánh cắp các tệp bảo mật ngay cả từ các máy chủ có quyền truy cập bị hạn chế, tạo tài khoản người dùng ẩn để quay lại sau hoặc vạch ra toàn bộ tài sản CNTT của bạn để chuẩn bị cho một cuộc tấn công. tấn công ransomware.
  • Bị rò rỉ có nghĩa là dữ liệu riêng tư hoặc liên quan đến bảo mật có thể thoát khỏi bộ lưu trữ an toàn. Đôi khi, ngay cả những rò rỉ nhỏ rõ ràng, chẳng hạn như vị trí của mã hệ điều hành cụ thể trong bộ nhớ, mà kẻ tấn công không thể dự đoán được, có thể cung cấp cho bọn tội phạm thông tin mà chúng cần để biến một cuộc tấn công có thể không thành công thành một cuộc tấn công gần như chắc chắn thành công. một.
  • Bỏ qua có nghĩa là biện pháp bảo vệ an ninh mà bạn thường mong đợi để giữ an toàn cho mình có thể bị bỏ qua. Kẻ lừa đảo thường khai thác các lỗ hổng bỏ qua để đánh lừa bạn tin vào nội dung từ xa, chẳng hạn như tệp đính kèm email, chẳng hạn như bằng cách tìm cách tránh "cảnh báo nội dung" hoặc tránh phát hiện phần mềm độc hại được cho là để giữ an toàn cho bạn.
  • Lừa đảo có nghĩa là nội dung có thể được tạo ra trông đáng tin cậy hơn so với thực tế. Ví dụ: những kẻ tấn công dụ bạn đến một trang web giả mạo hiển thị trong trình duyệt của bạn với tên máy chủ chính thức trong thanh địa chỉ (hoặc trông giống như thanh địa chỉ) có nhiều khả năng lừa bạn cung cấp dữ liệu cá nhân hơn là nếu chúng ' buộc phải đưa nội dung giả mạo của họ lên một trang web rõ ràng không phải là trang bạn mong đợi.
  • DoS có nghĩa là từ chối dịch vụ. Các lỗi cho phép dịch vụ mạng hoặc máy chủ tạm thời bị tắt ngoại tuyến thường được coi là lỗi cấp thấp, giả định rằng lỗi đó không cho phép kẻ tấn công đột nhập, đánh cắp dữ liệu hoặc truy cập vào bất kỳ thứ gì mà chúng không nên. Tuy nhiên, những kẻ tấn công có thể đánh sập các phần mạng của bạn một cách đáng tin cậy có thể làm điều đó lặp đi lặp lại theo cách phối hợp, chẳng hạn như bằng cách định thời gian cho các cuộc thăm dò DoS của chúng xảy ra mỗi khi máy chủ bị lỗi của bạn khởi động lại. Điều này có thể cực kỳ gây rối, đặc biệt nếu bạn đang điều hành một doanh nghiệp trực tuyến và cũng có thể được sử dụng như một trò tiêu khiển để thu hút sự chú ý khỏi các hoạt động bất hợp pháp khác mà những kẻ lừa đảo đang thực hiện trên mạng của bạn cùng một lúc.

Danh sách lỗi lớn

Danh sách 75 lỗi nghiêm trọng có tại đây, với ba lỗi không có ngày mà chúng tôi biết được đánh dấu bằng dấu hoa thị (*):

NIST ID Level Type Component affected
--------------- ----------- ------ ----------------------------------------
CVE-2023-21689: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21690: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21692: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21716: (Critical) RCE Microsoft Office Word CVE-2023-21803: (Critical) RCE Windows iSCSI CVE-2023-21815: (Critical) RCE Visual Studio CVE-2023-23381: (Critical) RCE Visual Studio CVE-2023-21528: (Important) RCE SQL Server CVE-2023-21529: (Important) RCE Microsoft Exchange Server CVE-2023-21568: (Important) RCE SQL Server CVE-2023-21684: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21685: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21686: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21694: (Important) RCE Windows Fax and Scan Service CVE-2023-21695: (Important) RCE Windows Protected EAP (PEAP) CVE-2023-21703: (Important) RCE Azure Data Box Gateway CVE-2023-21704: (Important) RCE SQL Server CVE-2023-21705: (Important) RCE SQL Server CVE-2023-21706: (Important) RCE Microsoft Exchange Server CVE-2023-21707: (Important) RCE Microsoft Exchange Server CVE-2023-21710: (Important) RCE Microsoft Exchange Server CVE-2023-21713: (Important) RCE SQL Server CVE-2023-21718: (Important) RCE SQL Server CVE-2023-21778: (Important) RCE Microsoft Dynamics CVE-2023-21797: (Important) RCE Windows ODBC Driver CVE-2023-21798: (Important) RCE Windows ODBC Driver CVE-2023-21799: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21801: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21802: (Important) RCE Microsoft Windows Codecs Library CVE-2023-21805: (Important) RCE Windows MSHTML Platform CVE-2023-21808: (Important) RCE .NET and Visual Studio CVE-2023-21820: (Important) RCE Windows Distributed File System (DFS) CVE-2023-21823: (Important) *RCE Microsoft Graphics Component
CVE-2023-23377: (Important) RCE 3D Builder CVE-2023-23378: (Important) RCE 3D Builder CVE-2023-23390: (Important) RCE 3D Builder CVE-2023-21566: (Important) EoP Visual Studio CVE-2023-21688: (Important) EoP Windows ALPC CVE-2023-21717: (Important) EoP Microsoft Office SharePoint CVE-2023-21777: (Important) EoP Azure App Service CVE-2023-21800: (Important) EoP Windows Installer CVE-2023-21804: (Important) EoP Microsoft Graphics Component CVE-2023-21812: (Important) EoP Windows Common Log File System Driver CVE-2023-21817: (Important) EoP Windows Kerberos CVE-2023-21822: (Important) EoP Windows Win32K CVE-2023-23376: (Important) *EoP Windows Common Log File System Driver CVE-2023-23379: (Important) EoP Microsoft Defender for IoT CVE-2023-21687: (Important) Leak Windows HTTP.sys CVE-2023-21691: (Important) Leak Windows Protected EAP (PEAP) CVE-2023-21693: (Important) Leak Microsoft PostScript Printer Driver CVE-2023-21697: (Important) Leak Internet Storage Name Service CVE-2023-21699: (Important) Leak Internet Storage Name Service CVE-2023-21714: (Important) Leak Microsoft Office CVE-2023-23382: (Important) Leak Azure Machine Learning CVE-2023-21715: (Important) *Bypass Microsoft Office Publisher CVE-2023-21809: (Important) Bypass Microsoft Defender for Endpoint CVE-2023-21564: (Important) Spoof Azure DevOps CVE-2023-21570: (Important) Spoof Microsoft Dynamics CVE-2023-21571: (Important) Spoof Microsoft Dynamics CVE-2023-21572: (Important) Spoof Microsoft Dynamics CVE-2023-21573: (Important) Spoof Microsoft Dynamics CVE-2023-21721: (Important) Spoof Microsoft Office OneNote CVE-2023-21806: (Important) Spoof Power BI CVE-2023-21807: (Important) Spoof Microsoft Dynamics CVE-2023-21567: (Important) DoS Visual Studio CVE-2023-21700: (Important) DoS Windows iSCSI CVE-2023-21701: (Important) DoS Windows Protected EAP (PEAP) CVE-2023-21702: (Important) DoS Windows iSCSI CVE-2023-21722: (Important) DoS .NET Framework CVE-2023-21811: (Important) DoS Windows iSCSI CVE-2023-21813: (Important) DoS Windows Cryptographic Services CVE-2023-21816: (Important) DoS Windows Active Directory CVE-2023-21818: (Important) DoS Windows SChannel CVE-2023-21819: (Important) DoS Windows Cryptographic Services CVE-2023-21553: (Unknown ) RCE Azure DevOps

Phải làm gì?

Người dùng doanh nghiệp muốn ưu tiên các bản vá thay vì thực hiện tất cả chúng cùng một lúc và hy vọng không có gì bị hỏng; do đó chúng tôi đặt Quan trọng lỗi ở trên cùng, cùng với các lỗ hổng RCE, vì RCE thường được kẻ gian sử dụng để có chỗ đứng ban đầu.

Tuy nhiên, cuối cùng, tất cả các lỗi cần phải được vá, đặc biệt là khi các bản cập nhật đã có sẵn và những kẻ tấn công có thể bắt đầu “làm ngược lại” bằng cách cố gắng tìm ra từ các bản vá những loại lỗ hổng nào đã tồn tại trước khi các bản cập nhật ra mắt.

Kỹ thuật đảo ngược Các bản vá Windows có thể tốn nhiều thời gian, đặc biệt là vì Windows là một hệ điều hành nguồn đóng, nhưng sẽ dễ dàng hơn rất nhiều để tìm ra cách thức hoạt động của các lỗi và cách khai thác chúng nếu bạn biết rõ nên bắt đầu từ đâu đang tìm kiếm, và những gì cần tìm kiếm.

Bạn càng sớm vượt lên (hoặc bạn bắt kịp càng nhanh, trong trường hợp lỗ hổng zero-day, là những lỗi mà kẻ gian tìm thấy trước), thì bạn càng ít có khả năng là người bị tấn công.

Vì vậy, ngay cả khi bạn không vá mọi thứ cùng một lúc, chúng tôi vẫn sẽ nói: Đừng trì hoãn/Hãy bắt đầu ngay hôm nay!

ĐỌC PHÂN TÍCH SOPHOSLABS CỦA BẢN VÁ THỨ BA ĐỂ BIẾT THÊM CHI TIẾT

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.