Във вторник Microsoft пусна актуализации за отстраняване на общо 130 нови пропуски в сигурността на своя софтуер, включително шест пропуски от типа „нулев ден“, които според компанията са били активно използвани.

От 130-те уязвимости девет са оценени като критични, а 121 са оценени като важни по отношение на сериозността. Това е в допълнение към осемте недостатъка, които технологичният гигант закърпи в своя базиран на Chromium браузър Edge в края на миналия месец.

Списъкът на проблемите, които са обект на активна експлоатация, е следният –

  • CVE-2023-32046 (CVSS оценка: 7.8) – уязвимост с повишаване на привилегиите в платформата Windows MSHTML
  • CVE-2023-32049 (CVSS оценка: 8.8) – уязвимост при заобикаляне на функцията за сигурност на Windows SmartScreen
  • CVE-2023-35311 (CVSS оценка: 8.8) – уязвимост за заобикаляне на функцията за сигурност на Microsoft Outlook
  • CVE-2023-36874 (CVSS оценка: 7,8) – уязвимост при повишаване на правата на Windows Error Reporting Service
  • CVE-2023-36884 (CVSS оценка: 8.3) – Уязвимост при отдалечено изпълнение на код в Office и Windows HTML (също публично известна към момента на пускане на версията)
  • ADV230001 – Злонамерено използване на драйвери, подписани от Microsoft, за дейности след експлоатиране (не е определен CVE)

Производителите на Windows заявиха, че са наясно с целенасочени атаки срещу отбранителни и правителствени структури в Европа и Северна Америка, които се опитват да използват CVE-2023-36884 чрез използване на специално създадени примамки за документи на Microsoft Office, свързани с Украинския световен конгрес, като повториха последните констатации от BlackBerry.

„Нападателят може да създаде специално създаден документ на Microsoft Office, който му позволява да извърши отдалечено изпълнение на код в контекста на жертвата“, заявиха от Microsoft. „Нападателят обаче ще трябва да убеди жертвата да отвори зловредния файл“.

Компанията е сигнализирала за кампанията за проникване в руска киберпрестъпна група, която проследява като Storm-0978, известна още с имената RomCom, Tropical Scorpius, UNC2596 и Void Rabisu.

„Бандата  разгръща и рансъмуер Underground, който е тясно свързан с рансъмуера Industrial Spy, наблюдаван за първи път в дивата природа през май 2022 г.“, обясни екипът на Microsoft Threat Intelligence. „Последната кампания на групата, засечена през юни 2023 г., включва злоупотреба със CVE-2023-36884 за предоставяне на задна врата със сходства с RomCom.“

Неотдавнашните фишинг атаки, организирани от бандата, са включвали използването на троянски версии на легитимен софтуер, хоствани на подобни уебсайтове, за внедряване на троянски кон за отдалечен достъп, наречен RomCom RAT, срещу различни украински и проукраински цели в Източна Европа и Северна Америка.

Въпреки че RomCom за пръв път беше засечена като група, свързана с рансъмуера Cuba, оттогава тя е свързана с други щамове на рансъмуер като Industrial Spy, както и с нов вариант, наречен Underground от юли 2023 г., който показва значително припокриване на изходния код с Industry Spy.

Microsoft заяви, че възнамерява да предприеме „подходящи действия, за да помогне за защитата на нашите клиенти“ под формата на извънсистемна актуализация на сигурността или чрез процеса на месечно освобождаване. При липса на кръпка за CVE-2023-36884 компанията призовава потребителите да използват правилото за намаляване на повърхността на атака (ASR) „Block all Office applications from creating child processes“.

От Редмънд съобщиха още, че са анулирали сертификатите за подписване на код, използвани за подписване и инсталиране на злонамерени драйвери в режим на ядрото на компрометирани системи чрез използване на вратичка в политиката на Windows за промяна на датата на подписване на драйвери преди 29 юли 2015 г., като са използвали инструменти с отворен код като HookSignTool и FuckCertVerifyTimeValidity.

Констатациите сочат, че използването на измамни драйвери в режим на ядрото набира популярност сред заплахите, тъй като те работят на най-високо ниво на привилегии в Windows, като по този начин правят възможно установяването на устойчивост за продължителни периоди от време, като същевременно се намесват във функционирането на софтуера за сигурност, за да избегнат откриване.

Понастоящем не е ясно как се експлоатират другите недостатъци и колко широко се разпространяват тези атаки. Но в светлината на активните злоупотреби се препоръчва потребителите да действат бързо, за да приложат актуализациите и да намалят потенциалните заплахи.

Софтуерни кръпки от други доставчици

Освен от Microsoft, през последните няколко седмици актуализации за сигурност бяха пуснати и от други производители, за да се коригират няколко уязвимости, включително:

Източник: The Hacker News

Подобни публикации

23 януари 2025

Кибератаките влизат в топ 10 на рисковете за бъ...

Според Барометъра на риска на Алианц бизнесът в България определя к...
23 януари 2025

Тръмп помилва създателя на пазара на наркотици ...

Едва на втория ден от встъпването си в длъжност президентът Тръмп п...
23 януари 2025

Тръмп отменя правилата на Байдън за развитието ...

Президентът Доналд Тръмп отмени заповедта на бившия президент Джо Б...
22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
Бъдете социални
Още по темата
17/01/2025

Руски кибершпиони са хванат...

Изследователи на Microsoft са разкрили, че...
14/01/2025

Microsoft поправя тройка ек...

Пач вторник: Януарското издание на Microsoft...
14/01/2025

Microsoft ограничава злонам...

Отделът за цифрови престъпления на Microsoft...
Последно добавени
23/01/2025

Кибератаките влизат в топ 1...

Според Барометъра на риска на Алианц...
23/01/2025

Тръмп помилва създателя на ...

Едва на втория ден от встъпването...
23/01/2025

Тръмп отменя правилата на Б...

Президентът Доналд Тръмп отмени заповедта на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!