Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Kẻ tấn công khai thác lỗ hổng Zero-Day của Microsoft Security-Bypass

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 182

Bản cập nhật bảo mật Patch Tuesday theo lịch trình của Microsoft cho tháng 71 bao gồm các bản sửa lỗi cho hai lỗ hổng bảo mật zero-day đang bị tấn công tích cực, cùng với XNUMX lỗ hổng khác trên nhiều loại sản phẩm của hãng.

Tổng cộng, 66 lỗ hổng mà Microsoft phát hành bản vá tháng XNUMX được đánh giá là nghiêm trọng, XNUMX lỗ hổng là quan trọng và XNUMX lỗ hổng ở mức trung bình.

Sản phẩm bản cập nhật bao gồm các bản vá dành cho Microsoft Office, Windows, Microsoft Exchange Server, trình duyệt Edge dựa trên Chrome của công ty, Azure Active Directory, Microsoft Defender cho Endpoint và Skype dành cho doanh nghiệp. Tenable đã xác định được 30 trong số 73 CVE như các lỗ hổng thực thi mã từ xa (RCE); 16 như cho phép leo thang đặc quyền; 10 liên quan đến lỗi giả mạo; chín là cho phép các cuộc tấn công từ chối dịch vụ phân tán; năm là sai sót công bố thông tin; và ba là vấn đề bỏ qua bảo mật.

Nước Hydra khai thác Zero-Days nhắm mục tiêu vào các nhà giao dịch tài chính

Một kẻ đe dọa được mệnh danh là Water Hydra (hay còn gọi là Dark Casino) hiện đang tận dụng một trong những lỗ hổng zero-day – một lỗ hổng bảo mật Tính năng bảo mật của Internet Shortcut Files bỏ qua lỗ hổng bảo mật theo dõi như CVE-2024-21412 (CVSS 8.1) — trong một chiến dịch độc hại nhắm vào các tổ chức trong lĩnh vực tài chính.

Các nhà nghiên cứu tại Trend Micro — trong số nhiều người đã phát hiện và báo cáo lỗ hổng này cho Microsoft — đã mô tả nó có liên quan đến việc vượt qua lỗ hổng SmartScreen đã được vá trước đó (CVE-2023-36025, CVSS 8.8) và ảnh hưởng đến tất cả các phiên bản Windows được hỗ trợ. Những kẻ tấn công Water Hydra đang sử dụng CVE-2024-21412 để giành quyền truy cập ban đầu vào các hệ thống của các nhà giao dịch tài chính và thả Trojan truy cập từ xa DarkMe vào chúng.

Saeed Abbasi, giám đốc nhà nghiên cứu lỗ hổng tại Qualys, cho biết: Để khai thác lỗ hổng, trước tiên kẻ tấn công cần gửi một tệp độc hại cho người dùng mục tiêu và yêu cầu họ mở nó, Saeed Abbasi, giám đốc nhà nghiên cứu lỗ hổng tại Qualys, cho biết trong bài bình luận qua email. Abbasi cho biết: “Tác động của lỗ hổng này là rất sâu sắc, làm tổn hại đến an ninh và làm suy yếu niềm tin vào các cơ chế bảo vệ như SmartScreen”.

SmartScreen Bỏ qua Zero-Day

Lỗ hổng zero-day khác mà Microsoft tiết lộ trong bản cập nhật bảo mật tháng này ảnh hưởng đến Defender SmartScreen. Theo Microsoft, CVE-2024-21351 là một lỗi có mức độ nghiêm trọng trung bình cho phép kẻ tấn công vượt qua các biện pháp bảo vệ của SmartScreen và tiêm mã vào đó để có thể đạt được khả năng thực thi mã từ xa. Microsoft cho biết, việc khai thác thành công có thể dẫn đến việc lộ dữ liệu bị hạn chế, các vấn đề về tính khả dụng của hệ thống hoặc cả hai. Không có thông tin chi tiết nào về chính xác ai có thể khai thác lỗi và cho mục đích gì.

Trong các nhận xét đã chuẩn bị sẵn cho Dark Reading, Mike Walters, chủ tịch và đồng sáng lập của Action1, cho biết lỗ hổng này có liên quan đến cách Mark of the Web của Microsoft (một tính năng xác định nội dung không đáng tin cậy từ Internet) tương tác với tính năng SmartScreen. Walters cho biết: “Đối với lỗ hổng này, kẻ tấn công phải phân phối một tệp độc hại cho người dùng và thuyết phục họ mở tệp đó, cho phép họ vượt qua các bước kiểm tra của SmartScreen và có khả năng làm tổn hại đến bảo mật của hệ thống”.

Lỗi có mức độ ưu tiên cao

Trong số năm lỗ hổng nghiêm trọng trong bản cập nhật tháng 2, lỗ hổng cần được ưu tiên chú ý là CVE-2024-21410, một lỗ hổng leo thang đặc quyền trong Exchange Server, mục tiêu ưa thích của những kẻ tấn công. Kẻ tấn công có thể sử dụng lỗi này để tiết lộ hàm băm Net-New Technology LAN Manager (NTLM) phiên bản 2 của người dùng mục tiêu, sau đó chuyển tiếp thông tin xác thực đó đến Máy chủ Exchange bị ảnh hưởng và xác thực người dùng đó với tư cách là người dùng.

Satnam Narang, kỹ sư nghiên cứu nhân viên cấp cao tại Tenable cho biết, những lỗ hổng như thế này tiết lộ thông tin nhạy cảm như băm NTLM có thể rất có giá trị đối với những kẻ tấn công. Ông nói: “Một kẻ đe dọa có trụ sở ở Nga đã lợi dụng lỗ hổng tương tự để thực hiện các cuộc tấn công – CVE-2023-23397 là lỗ hổng Nâng cao Đặc quyền trong Microsoft Outlook được vá vào tháng 2023 năm XNUMX”.

Để vá lỗ hổng, quản trị viên Exchange sẽ cần đảm bảo rằng họ đã cài đặt bản cập nhật Cập nhật tích lũy Exchange Server 2019 14 (CU14) và đảm bảo tính năng Bảo vệ xác thực mở rộng (EPA) được bật, Trend Micro cho biết. Nhà cung cấp bảo mật đã chỉ ra một bài viết mà Microsoft đã xuất bản cung cấp thông tin bổ sung về cách vá lỗ hổng.

Microsoft đã chỉ định cho CVE-2024-21410 mức độ nghiêm trọng tối đa là 9.1 trên 10, điều này khiến nó trở thành một lỗ hổng nghiêm trọng. Kev Breen, giám đốc cấp cao về nghiên cứu mối đe dọa tại Immersive Labs cho biết, thông thường, các lỗ hổng leo thang đặc quyền có xu hướng đạt điểm tương đối thấp trên thang đánh giá lỗ hổng CVSS, điều này trái ngược với bản chất thực sự của mối đe dọa mà chúng gây ra. Breen cho biết trong một tuyên bố: “Mặc dù có điểm số thấp nhưng các lỗ hổng [leo thang đặc quyền] vẫn được các tác nhân đe dọa săn đón và sử dụng trong hầu hết mọi sự cố mạng”. “Sau khi kẻ tấn công có quyền truy cập vào tài khoản người dùng thông qua kỹ thuật xã hội hoặc một số cuộc tấn công khác, tiếp theo, chúng sẽ tìm cách cấp quyền của mình cho quản trị viên cục bộ hoặc quản trị viên tên miền.”

Walters từ Action1 được đánh dấu CVE-2024-21413, một lỗ hổng RCE trong Microsoft Outlook là một lỗ hổng bảo mật mà các quản trị viên có thể muốn ưu tiên từ đợt tháng Hai. Lỗ hổng nghiêm trọng nghiêm trọng có điểm nghiêm trọng gần tối đa là 9.8, liên quan đến độ phức tạp tấn công thấp, không có sự tương tác của người dùng và không có đặc quyền đặc biệt nào cần thiết để kẻ tấn công khai thác nó. Walters cho biết: “Kẻ tấn công có thể khai thác lỗ hổng này thông qua khung xem trước trong Outlook, cho phép chúng phá vỡ Office Protected View và buộc các tệp mở ở chế độ chỉnh sửa, thay vì ở chế độ được bảo vệ an toàn hơn”.

Bản thân Microsoft đã xác định lỗ hổng này là thứ mà những kẻ tấn công ít có khả năng tấn công hơn. Tuy nhiên, Walters cho biết lỗ hổng này gây ra mối đe dọa đáng kể cho các tổ chức và cần được chú ý kịp thời.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.