Изследователи в областта на киберсигурността споделиха подробности за вече поправен недостатък в сигурността на платформата MSHTML на Windows, който може да бъде използван за заобикаляне на защитите за цялост на целеви машини.
Уязвимостта, проследена като CVE-2023-29324 (CVSS оценка: 6,5), е описана като заобикаляне на функция за сигурност. Тя беше отстранена от Microsoft като част от актуализациите Patch Tuesday за май 2023 г.
Изследователят по сигурността на Akamai Бен Барнеа, който откри и съобщи за грешката, отбеляза, че са засегнати всички версии на Windows, но посочи, че Microsoft Exchange сървърите с мартенската актуализация пропускат уязвимата функция.
„Неавтентифициран нападател в интернет може да използва уязвимостта, за да принуди клиент на Outlook да се свърже с контролиран от нападателя сървър“, казва Барнеа в доклад, споделен с The Hacker News.
„Това води до кражба на NTLM пълномощията. Това е уязвимост с нулев клик, което означава, че може да бъде задействана без взаимодействие с потребителя.“
Заслужава да се отбележи също така, че CVE-2023-29324 е заобикаляне на поправката, въведена от Microsoft през март 2023 г. за разрешаване на CVE-2023-23397 – критичен недостатък с повишаване на привилегиите в Outlook, който според компанията е бил използван от руски заплахи при атаки, насочени към европейски структури от април 2022 г. насам.
Akamai заяви, че проблемът произтича от сложната обработка на пътищата в Windows, като по този начин позволява на заплахата да създаде злонамерен URL адрес, който може да заобиколи проверките на зоните за сигурност в интернет.
„Тази уязвимост е още един пример за щателна проверка на кръпките, която води до нови уязвимости и заобикаляния“, каза Барнеа. „Това е повърхност за атака при анализ на мултимедийни файлове с нулево кликване, която потенциално може да съдържа критични уязвимости за повреда на паметта.“
За да останат напълно защитени, Microsoft допълнително препоръчва на потребителите да инсталират кумулативните актуализации на Internet Explorer, за да отстранят уязвимостите в платформата MSHTML и скриптовия енджин.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.