Във вторник Microsoft пусна месечната си актуализация на сигурността, като отстрани 61 различни пропуски в сигурността на своя софтуер, включително два критични проблема, засягащи Windows Hyper-V, които могат да доведат до отказ на услуга (DoS) и отдалечено изпълнение на код.
От 61-те уязвимости две са оценени като критични, 58 са оценени като важни, а една е с ниска степен на сериозност. Нито един от пропуските не е посочен като публично известен или в процес на активна атака към момента на издаване на публикацията, но шест от тях са маркирани с оценка „Exploitation More Likely“.
Поправките са в допълнение към 17-те недостатъка в сигурността, които бяха поправени в базирания на Chromium браузър Edge на компанията след излизането на актуализациите Patch Tuesday през февруари 2024 г.
Начело на списъка с критични недостатъци са CVE-2024-21407 и CVE-2024-21408, които засягат Hyper-V и могат да доведат съответно до отдалечено изпълнение на код и DoS състояние.
Актуализацията на Microsoft адресира и недостатъци, свързани с повишаване на привилегиите, в Azure Kubernetes Service Confidential Container (CVE-2024-21400, CVSS оценка: 9,0), Windows Composite Image File System (CVE-2024-26170, CVSS оценка: 7,8) и Authenticator (CVE-2024-21390, CVSS оценка: 7,1).
Успешното използване на CVE-2024-21390 изисква атакуващият да има локално присъствие на устройството чрез зловреден софтуер или зловредно приложение, което вече е инсталирано по някакъв друг начин. Освен това е необходимо жертвата да затвори и да отвори отново приложението Authenticator.
„Използването на тази уязвимост може да позволи на нападателя да получи достъп до кодовете за многофакторна автентикация за акаунтите на жертвата, както и да променя или изтрива акаунти в приложението authenticator, но не и да предотврати стартирането или работата на приложението“, се казва в консултацията на Microsoft.
„Въпреки че експлоатацията на този недостатък се счита за по-малко вероятна, знаем, че нападателите са склонни да намерят начини за заобикаляне на многофакторното удостоверяване“, казва Сатнам Наранг, старши щатен инженер-изследовател в Tenable, в изявление, споделено с The Hacker News.
„Достъпът до целевото устройство е достатъчно лош, тъй като те могат да следят натискането на клавишите, да крадат данни и да пренасочват потребителите към фишинг уебсайтове, но ако целта е да останат незабележими, те биха могли да поддържат този достъп и да откраднат кодовете за многофакторно удостоверяване, за да влязат в чувствителни акаунти, да откраднат данни или да превземат акаунтите изцяло, като променят паролите и подменят устройството за многофакторно удостоверяване, като ефективно блокират потребителя от неговите акаунти.“
Друга уязвимост, която заслужава да бъде отбелязана, е грешка, свързана с повишаване на привилегиите в компонента Print Spooler (CVE-2024-21433, CVSS оценка: 7,0), която може да позволи на нападателя да получи привилегии на SYSTEM, но само при спечелване на състезателно условие.
Актуализацията също така отстранява недостатък в отдалеченото изпълнение на код в Exchange Server (CVE-2024-26198, CVSS оценка: 8.8), с който неавтентифициран участник в заплахата може да злоупотреби, като постави специално създаден файл в онлайн директория и подмами жертвата да го отвори, което води до изпълнение на злонамерени DLL файлове.
Уязвимостта с най-висока оценка по CVSS е CVE-2024-21334 (оценка по CVSS: 9,8), която се отнася до случай на отдалечено изпълнение на код, засягащ Open Management Infrastructure (OMI).
„Отдалечен неавтентифициран нападател може да получи достъп до инстанцията на OMI от интернет и да изпрати специално създадени заявки, за да задейства уязвимост „use-after-free“,“ казват от Redmond.
„Първото тримесечие на Patch Tuesday през 2024 г. беше по-спокойно в сравнение с последните четири години“, каза Наранг. „През първото тримесечие от 2020 г. до 2023 г. са били поправени средно 237 CVE. През първото тримесечие на 2024 г. Microsoft е закърпил само 181 CVEs. Средният брой CVEs, поправени през март през последните четири години, е 86“.
Освен от Microsoft, през последните няколко седмици актуализации на сигурността бяха пуснати и от други производители за отстраняване на няколко уязвимости, включително –
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
