Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Bản vá thứ ba: 0 ngày, lỗi RCE và câu chuyện gây tò mò về phần mềm độc hại đã ký

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 107
by Paul Ducklin

Một tháng nữa, một Bản vá khác của Microsoft vào Thứ Ba, 48 bản vá khác, hai ngày XNUMX khác…

…và một câu chuyện đáng kinh ngạc về một nhóm những kẻ lừa đảo đã lừa chính Microsoft để cung cấp cho mã độc của họ một con dấu phê duyệt kỹ thuật số chính thức.

Để biết quan điểm của nhà nghiên cứu mối đe dọa về các bản sửa lỗi của Bản vá Thứ ba cho tháng 2002 năm XNUMX, vui lòng tham khảo Viết Sophos X-Ops trên trang web chị em của chúng tôi Tin tức về Sophos:

Đối với một lặn sâu vào câu chuyện về phần mềm độc hại đã ký, được phát hiện và báo cáo gần đây bởi các chuyên gia Phản hồi nhanh của Sophos, những người được gọi để giải quyết hậu quả của một cuộc tấn công thành công:

Và để có cái nhìn tổng quan cấp cao về các vấn đề lớn trong tháng này, hãy tiếp tục đọc tại đây…

Hai lỗ hổng zero-day đã được vá

May mắn thay, cả hai lỗi này đều không thể bị khai thác cho cái được gọi là RCE (thực thi mã từ xa), vì vậy chúng không cung cấp cho những kẻ tấn công bên ngoài một tuyến đường trực tiếp vào mạng của bạn.

Tuy nhiên, cả hai đều là những lỗi giúp tội phạm mạng dễ dàng hơn bằng cách cung cấp các cách để chúng vượt qua các biện pháp bảo vệ an ninh thường ngăn cản chúng theo dõi:

CVE-2022-44710: DirectX Graphics Kernel Nâng cao lỗ hổng đặc quyền

Một khai thác cho phép người dùng cục bộ lạm dụng lỗi này rõ ràng đã được tiết lộ công khai.

Tuy nhiên, theo như chúng tôi biết, lỗi này chỉ áp dụng cho các bản dựng mới nhất (2022H2) của Windows 11.

EoP cấp hạt nhân (nâng cao đặc quyền) lỗi cho phép người dùng thông thường “thăng cấp” bản thân họ lên cấp hệ thống, có khả năng biến một vụ xâm nhập tội phạm mạng rắc rối nhưng có lẽ hạn chế thành một vụ xâm nhập máy tính hoàn chỉnh.

CVE-2022-44698: Tính năng bảo mật Windows SmartScreen Bỏ qua lỗ hổng

Lỗi này cũng được biết là đã được khai thác trong tự nhiên.

Kẻ tấn công có nội dung độc hại thường gây ra cảnh báo bảo mật có thể bỏ qua thông báo đó và do đó lây nhiễm cho cả những người dùng có đầy đủ thông tin mà không cần cảnh báo.

Lỗi để xem

Và đây là ba lỗi thú vị không phải là lỗi 0 ngày, nhưng những kẻ lừa đảo có thể quan tâm đến việc đào sâu vào, với hy vọng tìm ra cách tấn công bất kỳ ai chậm trễ trong việc vá lỗi.

Hãy nhớ rằng bản thân các bản vá lỗi thường cung cấp cho kẻ tấn công những gợi ý rõ ràng về nơi bắt đầu tìm kiếm và những thứ cần tìm kiếm.

Kiểu giám sát “làm ngược lại cuộc tấn công” này có thể dẫn đến cái được biết đến trong biệt ngữ là Khai thác trong ngày N, có nghĩa là các cuộc tấn công diễn ra đủ nhanh để vẫn khiến nhiều người bị loại, mặc dù các vụ khai thác xuất hiện sau khi có bản vá lỗi.

CVE-2022-44666: Windows Contacts Lỗ hổng thực thi mã từ xa 

Theo các nhà nghiên cứu của Sophos X-Ops, việc mở một tệp liên hệ bị bẫy có thể làm được nhiều việc hơn là chỉ nhập một mục mới vào danh sách Liên hệ của bạn.

Với loại nội dung không phù hợp trong một tệp mà cảm thấy (theo cách nói của Douglas Adams) như thể nó "hầu như vô hại", kẻ tấn công có thể lừa bạn chạy mã không đáng tin cậy.

CVE-2022-44690 và CVE-2022-44693: Lỗ hổng thực thi mã từ xa của Microsoft SharePoint Server

May mắn thay, lỗi này không mở máy chủ SharePoint của bạn cho bất kỳ ai, nhưng bất kỳ người dùng hiện có nào trên mạng của bạn có đăng nhập SharePoint cộng với quyền “ManageList” đều có thể làm được nhiều việc hơn là chỉ quản lý danh sách SharePoint.

Thông qua lỗ hổng này, họ cũng có thể chạy mã mà họ chọn trên máy chủ SharePoint của bạn.

CVE-2022-41076: Lỗ hổng thực thi mã từ xa PowerShell 

Người dùng được ủy quyền đã đăng nhập vào mạng có thể được cấp quyền truy cập, thông qua hệ thống Từ xa PowerShell, để thực thi một số (nhưng không nhất thiết là tất cả) lệnh PowerShell trên các máy tính khác, bao gồm cả máy khách và máy chủ.

Bằng cách khai thác lỗ hổng này, có vẻ như người dùng PowerShell Remoting có thể bỏ qua các hạn chế bảo mật được cho là áp dụng cho họ và chạy các lệnh từ xa vượt quá giới hạn.

Câu chuyện về người lái xe đã ký

Và cuối cùng, nhưng không kém phần quan trọng, có một cái mới hấp dẫn Tư vấn bảo mật của Microsoft để đồng hành cùng Patch Tuesday của tháng này:

ADV220005: Hướng dẫn về trình điều khiển đã ký của Microsoft đang được sử dụng ác ý

Thật đáng kinh ngạc, lời khuyên này chỉ có nghĩa là những gì nó nói.

Các chuyên gia Phản hồi nhanh của Sophos, cùng với các nhà nghiên cứu từ hai công ty an ninh mạng khác, gần đây đã phát hiện và báo cáo các cuộc tấn công trong thế giới thực liên quan đến các mẫu phần mềm độc hại đã được ký điện tử bởi chính Microsoft.

Như Microsoft giải thích:

Microsoft gần đây đã được thông báo rằng các trình điều khiển được chứng nhận bởi Chương trình Nhà phát triển Phần cứng Windows của Microsoft đang được sử dụng một cách độc hại trong hoạt động hậu khai thác. […] Cuộc điều tra này cho thấy rằng một số tài khoản nhà phát triển cho Trung tâm đối tác của Microsoft đã tham gia gửi trình điều khiển độc hại để lấy chữ ký của Microsoft.

Nói cách khác, các lập trình viên lừa đảo đã lừa được Microsoft ký các trình điều khiển nhân độc hại, nghĩa là các cuộc tấn công do Sophos Rapid Response điều tra có liên quan đến tội phạm mạng, những kẻ đã có một cách chắc chắn để có được sức mạnh cấp nhân trên máy tính mà chúng đã xâm nhập…

…mà không cần thêm bất kỳ lỗ hổng, cách khai thác hay mánh khóe nào khác.

Họ có thể chỉ cần cài đặt một trình điều khiển nhân rõ ràng là chính thức, với trình điều khiển riêng của Microsoft, và Windows, theo thiết kế, sẽ tự động tin cậy và tải nó.

May mắn thay, những lập trình viên lừa đảo đó giờ đã được đá ra của Chương trình dành cho nhà phát triển của Microsoft và các trình điều khiển lừa đảo đã biết đã được Microsoft đưa vào danh sách chặn nên chúng sẽ không còn hoạt động nữa.

Để đi sâu vào vấn đề này câu chuyện kịch tính, bao gồm mô tả về những gì bọn tội phạm có thể đạt được với loại siêu năng lực “được chứng thực chính thức” này (về cơ bản, chấm dứt phần mềm bảo mật trái với ý muốn của nó từ bên trong chính hệ điều hành), vui lòng đọc phân tích của Sophos X-Ops:

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.