В актуализацията си от ноември 2023 г. Microsoft публикува поправки за общо 63 грешки, включително три, които вече се използват активно от заплахи, и две, които са били разкрити по-рано, но все още не са били използвани.
От гледна точка на суровите цифри ноемврийската актуализация на Microsoft е значително по-малка от тази през октомври, която съдържаше поправки за внушителните 112 CVE. Актуализацията от този месец включва и по-малко критични уязвимости – три – в сравнение с последните месеци. Microsoft е оценила всички останали CVE в актуализациите си за ноември, с изключение на четири, като такива с умерена или важна сериозност.
Както винаги, начинът, по който организациите определят приоритетите си за отстраняване на най-новия набор от грешки, ще зависи от различни фактори. Те включват разпространението на уязвимостите в конкретните им среди, засегнатите активи, достъпността на тези активи, лекотата на експлоатиране и други съображения.
Но както при всяка месечна актуализация на Microsoft, и в последната партида има няколко грешки, за които експертите по сигурността се съгласиха, че заслужават по-голямо внимание от други. Трите активно експлоатирани грешки от типа „нулев ден“ попадат в тази категория.
Една от тях е CVE-2023-36036 – уязвимост за повишаване на привилегиите в драйвера за мини филтър за файлове в облака на Microsoft, която дава възможност на нападателите да придобият привилегии на системно ниво. Microsoft е оценила уязвимостта като заплаха с умерена – или важна – сериозност, но е предоставила сравнително малко други подробности за проблема. Сатнам Наранг, старши щатен инженер-изследовател в Tenable, определи грешката като нещо, което вероятно ще представлява интерес за киберпрестъпниците от гледна точка на дейността след компрометирането. За да се възползва от грешката, нападателят изисква локален достъп до засегнатата система. Експлоатацията не включва голяма сложност, взаимодействие с потребителя или специални привилегии.
Драйверът на Windows Cloud Files Mini Filter Driver е компонент, който е от съществено значение за функционирането на файловете, съхранявани в облака, в системите Windows – казва Саид Абаси, мениджър на отдела за изследване на уязвимости и заплахи в Qualys. „Широкото присъствие на този драйвер в почти всички версии на Windows засилва риска, предоставяйки широка повърхност за атаки. В момента той е обект на активна атака и представлява значителен риск, особено когато е съчетан с грешка, свързана с изпълнението на код“, казва Абаси.
Другият бъг от типа „нулев ден“ в ноемврийската актуализация на Microsoft е CVE-2023-36033 – уязвимост за повишаване на привилегиите в компонента Windows DWM Core Library. Тази уязвимост също позволява достъп до привилегии на системно ниво в засегнатите системи и е сравнително лесна за използване. „Тази уязвимост може да се експлоатира локално, с ниска сложност и без да са необходими привилегии от високо ниво или взаимодействие с потребителя“, пише Майк Уолтърс, президент и съосновател на Action1, в публикация в блога. Грешката е нещо, което би било полезно за нападател, който вече е получил първоначален достъп до системата, отбеляза Уолтърс.
„Понастоящем тази уязвимост е обект на активна атака, което показва реално приложение от страна на злонамерени лица“, казва Абаси. „Въпреки че цялостният обхват на тези кибератаки все още не е напълно установен, историческите модели показват, че те често започват с малки инциденти и постепенно увеличават мащаба си.“
Третият бъг от нулев ден, CVE-2023-36025, е недостатък в сигурността, който дава възможност на нападателите да заобиколят проверките на Windows Defender SmartScreen, предупреждаващи за злонамерени уебсайтове и рискови или неразпознати файлове и приложения.
Според Наранг от Tenable това е третата уязвимост от типа нулев ден в Windows SmartScreen, експлоатирана в дивата природа през 2023 г., и четвъртата през последните две години.
Отдалечен нападател може да експлоатира уязвимостта по мрежата с малка сложност и без взаимодействие с потребителя, пише Уолтърс в публикацията в блога. С оценка CVSS от 8,8 от максимум 10, CVE-2023-36025 е нещо, на което организациите трябва да обърнат внимание, добави Уолтърс. „Като се има предвид високата ѝ CVSS оценка и фактът, че тя се експлоатира активно, това прави CVE-2023-36025 една от уязвимостите, които трябва да бъдат приоритетно поправяни.“
Два бъга – CVE-2023-36038, уязвимост за отказ на услуга, засягаща ASP.NET Core, и CVE-2023-36413, недостатък в заобикалянето на функцията за сигурност в Microsoft Office – бяха публично разкрити преди ноемврийския Patch Tuesday, но са неизползвани до момента.
Трите уязвимости в ноемврийската актуализация, които Microsoft оценява като критични по сериозност, са: CVE-2023-36397 – отдалечено изпълнение на код (RCE) в протокола Pragmatic General Multicast на Windows за пренос на многоадресни данни; CVE-2023-36400 – грешка, свързана с повишаване на привилегиите, във функцията Windows HMAC Key Derivation; и CVE-2023-36052 – грешка, свързана с разкриване на информация в компонент на Azure.
От трите критични бъга CVE-2023-36052 вероятно е проблемът, който организациите трябва да приоритизират, казва Джон Галахър, вицепрезидент на Viakoo Labs във Viakoo. Грешката позволява на нападателя да използва общи команди за интерфейса на командния ред, за да получи достъп до пълномощни в обикновен текст: потребителски имена и пароли. „Тези идентификационни данни вероятно могат да се използват в други среди, различни от Azure DevOps или GitHub, и следователно създават спешен риск за сигурността“, казва Галахър.
В публикация в блога на Центъра за интернет бури на SANS Йоханес Улрих, декан на изследователския отдел на Технологичния институт на SANS, посочва проблема в прагматичния общ мултикаст като проблем, който трябва да се наблюдава. „CVE-2023-36397, уязвимост с отдалечено изпълнение на код в протокола Pragmatic General Multicast (PGM) на Windows, заслужава внимание, тъй като имахме кръпки за това в предишни месеци“, пише Улрих. „Но експлоатацията би трябвало да е трудна. Тя ще изисква достъп до локалната мрежа и обикновено не е разрешена.“
Джейсън Китка, CISO на Automox, също посочи една уязвимост със средна степен на тежест за повишаване на привилегиите (CVE-2023-36422) като бъг, който екипите по сигурността не трябва да пренебрегват. Въпреки че Microsoft класифицира бъга като „Важен“ проблем, заплахата, която представлява, е критична, тъй като нападателят може да получи системни привилегии чрез използване на уязвимостта, пише Китка в публикация в блога. „Най-ефективната стратегия за смекчаване на последиците от подобна заплаха е незабавното прилагане на наличните пачове и осигуряване на тяхната актуалност“, пише той.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.