Η Microsoft објавио безбедносне исправке за месец април 2024. да би поправио рекорд 149 дефеката , од којих су две активно експлоатисане у дивљини.
Од 149 дефеката, три су оцењена као критичне, 142 су оцењене као важне, три су оцењене као умерене, а једна је оцењена као ниска озбиљност. Ажурирање не долази у обзир 21 рањивост са којим се компанија суочила у свом претраживачу Едге заснованом на Цхромиум-у након објављивања поправке закрпе од марта 2024 .
Два недостатка која су активно искоришћена су:
- ЦВЕ-КСНУМКС-КСНУМКС (ЦВСС резултат: 6,7) – Рањивост прокси драјвера у лажирању
- ЦВЕ-КСНУМКС-КСНУМКС (ЦВСС резултат: 8,8) – СмартСцреен Промпт безбедносне функције заобилазе рањивост
Иако Мицрософт-ов савет не пружа информације о ЦВЕ-2024-26234, сајбер компанијабезбедностСопхос је саопштио да је у децембру 2023. открио злонамерни извршни фајл („Цаталог.еке“ или „Цаталог Аутхентицатион Цлиент Сервице“) који је потписан од важећег издавача Мицрософт Виндовс хардверске компатибилности ( ВХЦП ) потврда.
Анализа Аутхентицоде-а бинарне датотеке открио је оригиналног издавача који је тражио Хаинан ИоуХу Тецхнологи Цо. Лтд, која је такође издавач другог алата под називом ЛаиКси Андроид Сцреен Мирроринг.
Ово последње је описано као „маркетиншки софтвер... [који] може да повеже стотине мобилних телефона и да их контролише у серијама и да аутоматизује задатке као што су групно праћење, лајковање и коментарисање“.
Унутар претпостављене услуге аутентификације налази се компонента тзв 3проки који је дизајниран да надгледа и пресреће мрежни саобраћај на зараженом систему, ефективно делујући као бацкдоор.
„Немамо доказа који би сугерисали да су програмери ЛаиКси намерно интегрисали злонамерну датотеку у свој производ, или да је актер претње извршио напад на ланац снабдевања како би га убацио у процес прављења/изградње ЛаиКси апликације“, он је навео Сопхос истраживач Андреас Клопсцх. .
Компанија за сајбер безбедност је такође саопштила да је открила неколико других варијанти бацкдоор-а у дивљини до 5. јануара 2023. године, што указује да кампања траје барем од тада. Мицрософт је од тада додао релевантне датотеке на своју листу опозива.
„Да би искористио ову сигурносну функцију заобилажења рањивости, нападач би морао да убеди корисника да покрене злонамерне датотеке користећи покретач који захтева да се кориснички интерфејс не прикаже“, рекао је Мицрософт.
„У сценарију напада путем е-поште или тренутних порука, нападач би могао послати циљаном кориснику посебно направљену датотеку дизајнирану да искористи рањивост удаљеног извршавања кода.“
Иницијатива Зеро Даи открио да постоје докази о експлоатацији грешке у дивљини, иако ју је Мицрософт означио оценом „Највероватније експлоатација“.
Још једно важно питање је рањивост ЦВЕ-2024-29990 (ЦВСС резултат: 9.0), недостатак привилегија који утиче на поверљиви Мицрософт Азуре Кубернетес сервисни контејнер који би нападачи без овлашћења могли да искористе за крађу акредитива.
„Нападач може да приступи непоузданом АКС Кубернетес чвору и АКС поверљивом контејнеру да преузме поверљиве госте и контејнере изван мрежног стека на који су можда везани“, рекао је Редмонд.
Све у свему, издање је значајно по адресирању до 68 даљинских извршавања кода, 31 ескалацији привилегија, 26 заобилажења безбедносних функција и шест грешака за ускраћивање услуге (ДоС). Занимљиво је да су 24 од 26 безбедносних грешака заобилажења повезане са безбедним покретањем.
„Док ниједна од ових рањивости сецуре боот Овог месеца нису експлоатисане у дивљини, служе као подсетник да недостаци у безбедном покретању и даље постоје и да бисмо могли да видимо више злонамерних активности повезаних са безбедним покретањем у будућности“, рекао је Сатнам Наранг, виши инжењер за истраживање особља у Тенабле-у у Изјава.
Откриће долази као и Мицрософт суочити са критиком о својим безбедносним праксама, са недавним извештајем Одбора за преглед Сајбер безбедност(ЦСРБ) позивајући компанију да не чини довољно да спречи кампању сајбер шпијунаже коју је организовао кинески актер претњи праћен као Олуја. -0558 прошле године.
Такође следи одлуку компаније да објавити податке о основном узроку за безбедносне пропусте користећи индустријски стандард Цоммон Веакнесс Енумератион (ЦВЕ). Међутим, вреди напоменути да се промене примењују само почевши од савета објављених од марта 2024.
„Додавање ЦВЕ процена Мицрософт-овим безбедносним саветима помаже да се идентификује општи основни узрок рањивости“, рекао је Адам Барнет, водећи софтверски инжењер у Рапид7, у изјави подељеној за Тхе Хацкер Невс.
„Програм ЦВЕ је недавно ажурирао своје смернице мапирање ЦВЕ-а у основни узрок ЦВЕ . Анализирање ЦВЕ трендова може помоћи програмерима да смање будуће појаве кроз побољшане токове рада и тестирања животног циклуса развоја софтвера (СДЛЦ), као и да помогне браниоцима да схвате где да усмере дубинске напоре у одбрани и ојачани развој ради бољег поврата улагања.
У сродном развоју, фирма за сајбер безбедност Варонис разоткрила је две методе које нападачи могу да усвоје како би заобишли евиденцију ревизије и избегли покретање догађаја преузимања приликом извоза датотека са СхареПоинт-а.
Први приступ користи предности СхареПоинт-ове функције „Отвори у апликацији“ за приступ и преузимање датотека, док други користи кориснички агент за Мицрософт СкиДривеСинц за преузимање датотека или чак читавих сајтова, погрешно класификујући такве догађаје као синхронизације датотека уместо преузимања.
„Ове технике могу заобићи политике откривања и спровођења традиционалних алата, као што су брокери за сигурност приступа у облаку, превенција губитка података и СИЕМ, прикривајући преузимања као мање сумњиве догађаје приступа и синхронизације,“ рекао је Ериц Сарага.
Исправке софтвера треће стране
Поред Мицрософт-а, други произвођачи су последњих недеља објавили безбедносне исправке како би поправили неколико рањивости, укључујући:
- адобе
- Интел
- Android
- Апацхе КСМЛ безбедност за Ц++
- Аруба Нетворкс
- Атос
- Босцх
- Cisco
- Д-ЛИНК
- Шумовита долина
- друпал
- F5
- Fortinet
- Фортра
- ГитЛаб
- гоогле цхроме
- Гоогле Цлоуд
- гоогле пиксела
- хиквисион
- Хитацхи Енерги
- HP
- ХП Ентерприсе
- ХТТП / 2
- ИБМ-
- Иванти
- јенкинс
- леново
- ЛГ вебОС
- Линук дистрибуције Дебиан, Орацле Линук, rED ХАТ, СУСЕ, и убунту
- МедиаТек
- Мозилла Фирефок, Фирефок ЕСР и Тхундербирд
- Нетгеар
- АМД
- куалцомм
- Роцквелл Аутоматион
- Рђа
- самсунг
- SAP
- Сцхнеидер Елецтриц
- Сиеменс
- Сплунк
- Синологи
- VMware
- WordPress
- зум