Търсене
Close this search box.

Microsoft закърпи 61 уязвиости с мартенския ъпдейт

Във вторник Microsoft пусна месечната си актуализация на сигурността, като отстрани 61 различни пропуски в сигурността на своя софтуер, включително два критични проблема, засягащи Windows Hyper-V, които могат да доведат до отказ на услуга (DoS) и отдалечено изпълнение на код.

От 61-те уязвимости две са оценени като критични, 58 са оценени като важни, а една е с ниска степен на сериозност. Нито един от пропуските не е посочен като публично известен или в процес на активна атака към момента на издаване на публикацията, но шест от тях са маркирани с оценка „Exploitation More Likely“.

Поправките са в допълнение към 17-те недостатъка в сигурността, които бяха поправени в базирания на Chromium браузър Edge на компанията след излизането на актуализациите Patch Tuesday през февруари 2024 г.

Начело на списъка с критични недостатъци са CVE-2024-21407 и CVE-2024-21408, които засягат Hyper-V и могат да доведат съответно до отдалечено изпълнение на код и DoS състояние.

Актуализацията на Microsoft адресира и недостатъци, свързани с повишаване на привилегиите, в Azure Kubernetes Service Confidential Container (CVE-2024-21400, CVSS оценка: 9,0), Windows Composite Image File System (CVE-2024-26170, CVSS оценка: 7,8) и Authenticator (CVE-2024-21390, CVSS оценка: 7,1).

Успешното използване на CVE-2024-21390 изисква атакуващият да има локално присъствие на устройството чрез зловреден софтуер или зловредно приложение, което вече е инсталирано по някакъв друг начин. Освен това е необходимо жертвата да затвори и да отвори отново приложението Authenticator.

„Използването на тази уязвимост може да позволи на нападателя да получи достъп до кодовете за многофакторна автентикация за акаунтите на жертвата, както и да променя или изтрива акаунти в приложението authenticator, но не и да предотврати стартирането или работата на приложението“, се казва в консултацията на Microsoft.

„Въпреки че експлоатацията на този недостатък се счита за по-малко вероятна, знаем, че нападателите са склонни да намерят начини за заобикаляне на многофакторното удостоверяване“, казва Сатнам Наранг, старши щатен инженер-изследовател в Tenable, в изявление, споделено с The Hacker News.

„Достъпът до целевото устройство е достатъчно лош, тъй като те могат да следят натискането на клавишите, да крадат данни и да пренасочват потребителите към фишинг уебсайтове, но ако целта е да останат незабележими, те биха могли да поддържат този достъп и да откраднат кодовете за многофакторно удостоверяване, за да влязат в чувствителни акаунти, да откраднат данни или да превземат акаунтите изцяло, като променят паролите и подменят устройството за многофакторно удостоверяване, като ефективно блокират потребителя от неговите акаунти.“

Друга уязвимост, която заслужава да бъде отбелязана, е грешка, свързана с повишаване на привилегиите в компонента Print Spooler (CVE-2024-21433, CVSS оценка: 7,0), която може да позволи на нападателя да получи привилегии на SYSTEM, но само при спечелване на състезателно условие.

Актуализацията също така отстранява недостатък в отдалеченото изпълнение на код в Exchange Server (CVE-2024-26198, CVSS оценка: 8.8), с който неавтентифициран участник в заплахата може да злоупотреби, като постави специално създаден файл в онлайн директория и подмами жертвата да го отвори, което води до изпълнение на злонамерени DLL файлове.

Уязвимостта с най-висока оценка по CVSS е CVE-2024-21334 (оценка по CVSS: 9,8), която се отнася до случай на отдалечено изпълнение на код, засягащ Open Management Infrastructure (OMI).

„Отдалечен неавтентифициран нападател може да получи достъп до инстанцията на OMI от интернет и да изпрати специално създадени заявки, за да задейства уязвимост „use-after-free“,“ казват от Redmond.

„Първото тримесечие на Patch Tuesday през 2024 г. беше по-спокойно в сравнение с последните четири години“, каза Наранг. „През първото тримесечие от 2020 г. до 2023 г. са били поправени средно 237 CVE. През първото тримесечие на 2024 г. Microsoft е закърпил само 181 CVEs. Средният брой CVEs, поправени през март през последните четири години, е 86“.

Софтуерни кръпки от други доставчици

Освен от Microsoft, през последните няколко седмици актуализации на сигурността бяха пуснати и от други производители за отстраняване на няколко уязвимости, включително –

Източник: The Hacker News

Подобни публикации

22 юни 2024

Пробивът в JAXA не е довел до изтичане на важна...

Японската космическа агенция твърди, че няма изтичане на класифицир...

Cyber Europe тества енергийния сектор

Седмото издание на Cyber Europe, едно от най-големите учения за киб...
22 юни 2024

ЕВРО 2024: Хакери удариха излъчването на Полша ...

Хакери нарушиха онлайн излъчването на мача на Полша с Австрия от Ев...
22 юни 2024

Panera Bread призна за изтичане на данни

Американската верига за бързо хранене Panera Bread е започнала да у...
21 юни 2024

Change Healthcare най-после с подробности за ат...

UnitedHealth за първи път потвърди какви видове медицински данни и ...
21 юни 2024

САЩ наложиха санкции на 12 ръководители на Kasp...

Службата за контрол на чуждестранните активи (OFAC) към Министерств...
Бъдете социални
Още по темата
20/06/2024

Сериозна уязвимост на Phoen...

Стотици модели компютри и сървъри, които...
14/06/2024

YouTube преминава към инжек...

Съобщава се, че YouTube вече вкарва...
13/06/2024

Интерпол и ФБР разбиха кибе...

Четирима заподозрени бяха задържани и обвинени,...
Последно добавени
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
22/06/2024

Cyber Europe тества енергий...

Седмото издание на Cyber Europe, едно...
22/06/2024

ЕВРО 2024: Хакери удариха и...

Хакери нарушиха онлайн излъчването на мача...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!