Търсене
Close this search box.

Уязвимости на Microsoft позволяват заобикаляне на Defender и повишаване на привилегиите

В актуализацията си от ноември 2023 г. Microsoft публикува поправки за общо 63 грешки, включително три, които вече се използват активно от  заплахи, и две, които са били разкрити по-рано, но все още не са били използвани.

От гледна точка на суровите цифри ноемврийската актуализация на Microsoft е значително по-малка от тази през октомври, която съдържаше поправки за внушителните 112 CVE. Актуализацията от този месец включва и по-малко критични уязвимости – три – в сравнение с последните месеци. Microsoft е оценила всички останали CVE в актуализациите си за ноември, с изключение на четири, като такива с умерена или важна сериозност.

Тройка 0-Days, които атакуващите използват активно

Както винаги, начинът, по който организациите определят приоритетите си за отстраняване на най-новия набор от грешки, ще зависи от различни фактори. Те включват разпространението на уязвимостите в конкретните им среди, засегнатите активи, достъпността на тези активи, лекотата на експлоатиране и други съображения.

Но както при всяка месечна актуализация на Microsoft, и в последната партида има няколко грешки, за които експертите по сигурността се съгласиха, че заслужават по-голямо внимание от други. Трите активно експлоатирани грешки от типа „нулев ден“ попадат в тази категория.

Една от тях е CVE-2023-36036 – уязвимост за повишаване на привилегиите в драйвера за мини филтър за файлове в облака на Microsoft, която дава възможност на нападателите да придобият привилегии на системно ниво. Microsoft е оценила уязвимостта като заплаха с умерена – или важна – сериозност, но е предоставила сравнително малко други подробности за проблема. Сатнам Наранг, старши щатен инженер-изследовател в Tenable, определи грешката като нещо, което вероятно ще представлява интерес за киберпрестъпниците от гледна точка на дейността след компрометирането. За да се възползва от грешката, нападателят изисква локален достъп до засегнатата система. Експлоатацията не включва голяма сложност, взаимодействие с потребителя или специални привилегии.

Драйверът на Windows Cloud Files Mini Filter Driver е компонент, който е от съществено значение за функционирането на файловете, съхранявани в облака, в системите Windows – казва Саид Абаси, мениджър на отдела за изследване на уязвимости и заплахи в Qualys. „Широкото присъствие на този драйвер в почти всички версии на Windows засилва риска, предоставяйки широка повърхност за атаки. В момента той е обект на активна атака и представлява значителен риск, особено когато е съчетан с грешка, свързана с изпълнението на код“, казва Абаси.

Другият бъг от типа „нулев ден“ в ноемврийската актуализация на Microsoft е CVE-2023-36033 – уязвимост за повишаване на привилегиите в компонента Windows DWM Core Library. Тази уязвимост също позволява достъп до привилегии на системно ниво в засегнатите системи и е сравнително лесна за използване. „Тази уязвимост може да се експлоатира локално, с ниска сложност и без да са необходими привилегии от високо ниво или взаимодействие с потребителя“, пише Майк Уолтърс, президент и съосновател на Action1, в публикация в блога. Грешката е нещо, което би било полезно за нападател, който вече е получил първоначален достъп до системата, отбеляза Уолтърс.

„Понастоящем тази уязвимост е обект на активна атака, което показва реално приложение от страна на злонамерени лица“, казва Абаси. „Въпреки че цялостният обхват на тези кибератаки все още не е напълно установен, историческите модели показват, че те често започват с малки инциденти и постепенно увеличават мащаба си.“

Третият бъг от нулев ден, CVE-2023-36025, е недостатък в сигурността, който дава възможност на нападателите да заобиколят проверките на Windows Defender SmartScreen, предупреждаващи за злонамерени уебсайтове и рискови или неразпознати файлове и приложения.

Според Наранг от Tenable това е третата уязвимост от типа нулев ден в Windows SmartScreen, експлоатирана в дивата природа през 2023 г., и четвъртата през последните две години.

Отдалечен нападател може да експлоатира уязвимостта по мрежата с малка сложност и без взаимодействие с потребителя, пише Уолтърс в публикацията в блога. С оценка CVSS от 8,8 от максимум 10, CVE-2023-36025 е нещо, на което организациите трябва да обърнат внимание, добави Уолтърс. „Като се има предвид високата ѝ CVSS оценка и фактът, че тя се експлоатира активно, това прави CVE-2023-36025 една от уязвимостите, които трябва да бъдат приоритетно поправяни.“

Два бъга – CVE-2023-36038, уязвимост за отказ на услуга, засягаща ASP.NET Core, и CVE-2023-36413, недостатък в заобикалянето на функцията за сигурност в Microsoft Office – бяха публично разкрити преди ноемврийския Patch Tuesday, но са неизползвани до момента.

Грешки с критична тежест

Трите уязвимости в ноемврийската актуализация, които Microsoft оценява като критични по сериозност, са: CVE-2023-36397 – отдалечено изпълнение на код (RCE) в протокола Pragmatic General Multicast на Windows за пренос на многоадресни данни; CVE-2023-36400 – грешка, свързана с повишаване на привилегиите, във функцията Windows HMAC Key Derivation; и CVE-2023-36052 – грешка, свързана с разкриване на информация в компонент на Azure.

От трите критични бъга CVE-2023-36052 вероятно е проблемът, който организациите трябва да приоритизират, казва Джон Галахър, вицепрезидент на Viakoo Labs във Viakoo. Грешката позволява на нападателя да използва общи команди за интерфейса на командния ред, за да получи достъп до пълномощни в обикновен текст: потребителски имена и пароли. „Тези идентификационни данни вероятно могат да се използват в други среди, различни от Azure DevOps или GitHub, и следователно създават спешен риск за сигурността“, казва Галахър.

В публикация в блога на Центъра за интернет бури на SANS Йоханес Улрих, декан на изследователския отдел на Технологичния институт на SANS, посочва проблема в прагматичния общ мултикаст като проблем, който трябва да се наблюдава. „CVE-2023-36397, уязвимост с отдалечено изпълнение на код в протокола Pragmatic General Multicast (PGM) на Windows, заслужава внимание, тъй като имахме кръпки за това в предишни месеци“, пише Улрих. „Но експлоатацията би трябвало да е трудна. Тя ще изисква достъп до локалната мрежа и обикновено не е разрешена.“

Джейсън Китка, CISO на Automox, също посочи една уязвимост със средна степен на тежест за повишаване на привилегиите (CVE-2023-36422) като бъг, който екипите по сигурността не трябва да пренебрегват. Въпреки че Microsoft класифицира бъга като „Важен“ проблем, заплахата, която  представлява, е критична, тъй като нападателят може да получи системни привилегии чрез използване на уязвимостта, пише Китка в публикация в блога. „Най-ефективната стратегия за смекчаване на последиците от подобна заплаха е незабавното прилагане на наличните пачове и осигуряване на тяхната актуалност“, пише той.

 

Източник: DARKReading

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
Бъдете социални
Още по темата
17/04/2024

Приложението Copilot на Win...

Microsoft твърди, че новото приложение Copilot,...
17/04/2024

BMC на Intel и Lenovo съдър...

Нови открития на Binarly показват, че...
17/04/2024

Пробивът на паролите в Sise...

Експертите се опасяват, че компрометирането на...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!