Η Microsoft пусна актуализации за сигурност за месец април 2024 г., за да коригира рекорд 149 дефекта , две от които са били активно експлоатирани в природата.
От 149 дефекта три са оценени като критични, 142 са оценени като важни, три са оценени като умерени и един е оценен като ниска сериозност. Актуализацията е изключена 21 уязвимости с които се сблъсква компанията в своя базиран на Chromium браузър Edge след пускането на корекции на корекции от март, вторник 2024 г .
Двата недостатъка, които са активно използвани, са следните –
- CVE-2024 26234- (CVSS резултат: 6,7) – Уязвимост при подправяне на прокси драйвер
- CVE-2024 29988- (CVSS резултат: 8,8) – Функциите за сигурност на SmartScreen Prompt заобикалят уязвимостта
Въпреки че съветите на Microsoft не предоставят информация за CVE-2024-26234, кибер компаниятасигурностSophos каза, че е открил през декември 2023 г. злонамерен изпълним файл („Catalog.exe“ или „Catalog Authentication Client Service“), който е подписан от валиден издател за хардуерна съвместимост на Microsoft Windows ( WHCP ) сертификат.
Анализът на Authenticode на двоичния файл разкри оригиналния заявител на Hainan YouHu Technology Co. Ltd, който също е издател на друг инструмент, наречен LaiXi Android Screen Mirroring.
Последният е описан като „маркетингов софтуер … [който] може да свърже стотици мобилни телефони и да ги контролира на партиди и да автоматизира задачи като групово следване, харесване и коментиране“.
В рамките на предполагаемата услуга за удостоверяване има компонент, наречен 3прокси който е проектиран да наблюдава и прихваща мрежовия трафик на заразена система, действайки ефективно като задна врата.
„Нямаме доказателства, които да предполагат, че разработчиците на LaiXi умишлено са интегрирали злонамерения файл в своя продукт или че заплаха е извършила атака по веригата на доставки, за да го инжектира в процеса на изграждане/изграждане на приложението LaiXi,“ посочен Изследователят на Sophos Андреас Клопш. .
Компанията за киберсигурност също каза, че е открила няколко други варианта на задната вратичка в дивата природа до 5 януари 2023 г., което показва, че кампанията се провежда поне оттогава. Оттогава Microsoft добави съответните файлове към своя списък за изтегляне.
„За да се възползва от тази уязвимост на функцията за заобикаляне на сигурността, нападателят ще трябва да убеди потребителя да стартира злонамерени файлове, използвайки стартер, който изисква да не се показва потребителски интерфейс“, каза Microsoft.
„При сценарий на атака по имейл или незабавни съобщения, нападателят може да изпрати на целевия потребител специално създаден файл, предназначен да използва уязвимостта при отдалечено изпълнение на код.“
Инициативата Нулев ден разкри че има доказателства за експлоатация на недостатъка в дивата природа, въпреки че Microsoft го маркира с рейтинг „Най-вероятно използване“.
Друг важен въпрос е уязвимостта CVE-2024-29990 (CVSS резултат: 9.0), пропуск в повишаването на привилегиите, засягащ Microsoft Azure Kubernetes Service Container Confidential, който може да бъде използван от неупълномощени нападатели за кражба на идентификационни данни.
„Атакуващият може да получи достъп до ненадеждния AKS Kubernetes възел и AKS Confidential Container, за да поеме поверителни гости и контейнери извън мрежовия стек, към който може да са свързани“, каза Редмънд.
Като цяло изданието се отличава с адресирането на до 68 отдалечени изпълнение на код, 31 ескалация на привилегии, 26 байпаса на защитните функции и шест грешки при отказ на услуга (DoS). Интересното е, че 24 от 26 грешки при заобикаляне на сигурността са свързани със защитеното зареждане.
„Докато нито една от тези уязвимости Secure Boot адресирани този месец, не са били експлоатирани в дивата природа, те служат като напомняне, че недостатъците в Secure Boot все още съществуват и можем да видим повече злонамерена дейност, свързана със Secure Boot в бъдеще“, каза Сатнам Наранг, старши инженер по научни изследвания в Tenable, каза в декларация.
Разкритието идва както и Microsoft изправят се срещу критика относно неговите практики за сигурност, с неотдавнашен доклад от Съвета за преглед Киберсигурност(CSRB), призовавайки компанията, че не прави достатъчно, за да предотврати кампания за кибер шпионаж, организирана от китайски заплаха актьор, проследяван като Storm. -0558 миналата година.
Това също следва решението на компанията да публикувайте данни за първопричината за пропуски в сигурността, използвайки индустриалния стандарт за общо изброяване на слабости (CWE). Заслужава обаче да се отбележи, че промените се прилагат само от съвети, публикувани от март 2024 г.
„Добавянето на оценки на CWE към съветите за сигурност на Microsoft помага да се идентифицира цялостната първопричина за уязвимостта“, каза Адам Барнет, водещ софтуерен инженер в Rapid7, в изявление, споделено с The Hacker News.
„Програмата CWE наскоро актуализира своите насоки относно картографиране на CVE към първопричина за CWE . Анализирането на тенденциите в CWE може да помогне на разработчиците да намалят бъдещите събития чрез подобрени работни потоци и тестване на жизнения цикъл на разработка на софтуер (SDLC), както и да помогне на защитниците да разберат къде да насочат усилията за задълбочена защита и укрепване на развитието за по-добра възвръщаемост на инвестициите.
В свързано развитие фирмата за киберсигурност Varonis разкри два метода, които атакуващите могат да възприемат, за да заобиколят журналите за проверка и да избегнат задействането на събития за изтегляне при експортиране на файлове от SharePoint.
Първият подход се възползва от функцията „Отваряне в приложението“ на SharePoint за достъп и изтегляне на файлове, докато вторият използва потребителския агент за Microsoft SkyDriveSync за изтегляне на файлове или дори цели сайтове, като неправилно класифицира такива събития като синхронизиране на файлове вместо изтегляния.
„Тези техники могат да заобиколят политиките за откриване и прилагане на традиционните инструменти, като брокери за сигурност на достъпа до облака, предотвратяване на загуба на данни и SIEMs, като маскират изтеглянията като по-малко подозрителни събития за достъп и синхронизация,“ той каза Ерик Сарага.
Корекции на софтуера на трети страни
В допълнение към Microsoft, актуализации за сигурност бяха пуснати и от други доставчици през последните седмици, за да коригират няколко уязвимости, включително:
- Кирпич
- AMD
- Android
- Apache XML Security за C++
- Арубаски мрежи
- Atos
- Bosch
- Cisco
- D-Link
- Долчинка
- Drupal
- F5
- Fortinet
- Фортра
- GitLab
- Google Chrome
- Google Cloud
- Google Pixel
- Hikvision
- Hitachi Energy
- HP
- HPE Enterprise
- HTTP / 2
- IBM
- Иванти
- Дженкинс
- Lenovo
- LG webOS
- Linux дистрибуции Debian, Oracle Linux, Кардинал, SUSE, и Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR и Thunderbird
- NETGEAR
- NVIDIA
- Qualcomm
- Rockwell Automation
- Ръжда
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- VMware
- WordPress
- Zoom
