Търсене
Close this search box.

Уязвимости на Microsoft позволяват заобикаляне на Defender и повишаване на привилегиите

В актуализацията си от ноември 2023 г. Microsoft публикува поправки за общо 63 грешки, включително три, които вече се използват активно от  заплахи, и две, които са били разкрити по-рано, но все още не са били използвани.

От гледна точка на суровите цифри ноемврийската актуализация на Microsoft е значително по-малка от тази през октомври, която съдържаше поправки за внушителните 112 CVE. Актуализацията от този месец включва и по-малко критични уязвимости – три – в сравнение с последните месеци. Microsoft е оценила всички останали CVE в актуализациите си за ноември, с изключение на четири, като такива с умерена или важна сериозност.

Тройка 0-Days, които атакуващите използват активно

Както винаги, начинът, по който организациите определят приоритетите си за отстраняване на най-новия набор от грешки, ще зависи от различни фактори. Те включват разпространението на уязвимостите в конкретните им среди, засегнатите активи, достъпността на тези активи, лекотата на експлоатиране и други съображения.

Но както при всяка месечна актуализация на Microsoft, и в последната партида има няколко грешки, за които експертите по сигурността се съгласиха, че заслужават по-голямо внимание от други. Трите активно експлоатирани грешки от типа „нулев ден“ попадат в тази категория.

Една от тях е CVE-2023-36036 – уязвимост за повишаване на привилегиите в драйвера за мини филтър за файлове в облака на Microsoft, която дава възможност на нападателите да придобият привилегии на системно ниво. Microsoft е оценила уязвимостта като заплаха с умерена – или важна – сериозност, но е предоставила сравнително малко други подробности за проблема. Сатнам Наранг, старши щатен инженер-изследовател в Tenable, определи грешката като нещо, което вероятно ще представлява интерес за киберпрестъпниците от гледна точка на дейността след компрометирането. За да се възползва от грешката, нападателят изисква локален достъп до засегнатата система. Експлоатацията не включва голяма сложност, взаимодействие с потребителя или специални привилегии.

Драйверът на Windows Cloud Files Mini Filter Driver е компонент, който е от съществено значение за функционирането на файловете, съхранявани в облака, в системите Windows – казва Саид Абаси, мениджър на отдела за изследване на уязвимости и заплахи в Qualys. „Широкото присъствие на този драйвер в почти всички версии на Windows засилва риска, предоставяйки широка повърхност за атаки. В момента той е обект на активна атака и представлява значителен риск, особено когато е съчетан с грешка, свързана с изпълнението на код“, казва Абаси.

Другият бъг от типа „нулев ден“ в ноемврийската актуализация на Microsoft е CVE-2023-36033 – уязвимост за повишаване на привилегиите в компонента Windows DWM Core Library. Тази уязвимост също позволява достъп до привилегии на системно ниво в засегнатите системи и е сравнително лесна за използване. „Тази уязвимост може да се експлоатира локално, с ниска сложност и без да са необходими привилегии от високо ниво или взаимодействие с потребителя“, пише Майк Уолтърс, президент и съосновател на Action1, в публикация в блога. Грешката е нещо, което би било полезно за нападател, който вече е получил първоначален достъп до системата, отбеляза Уолтърс.

„Понастоящем тази уязвимост е обект на активна атака, което показва реално приложение от страна на злонамерени лица“, казва Абаси. „Въпреки че цялостният обхват на тези кибератаки все още не е напълно установен, историческите модели показват, че те често започват с малки инциденти и постепенно увеличават мащаба си.“

Третият бъг от нулев ден, CVE-2023-36025, е недостатък в сигурността, който дава възможност на нападателите да заобиколят проверките на Windows Defender SmartScreen, предупреждаващи за злонамерени уебсайтове и рискови или неразпознати файлове и приложения.

Според Наранг от Tenable това е третата уязвимост от типа нулев ден в Windows SmartScreen, експлоатирана в дивата природа през 2023 г., и четвъртата през последните две години.

Отдалечен нападател може да експлоатира уязвимостта по мрежата с малка сложност и без взаимодействие с потребителя, пише Уолтърс в публикацията в блога. С оценка CVSS от 8,8 от максимум 10, CVE-2023-36025 е нещо, на което организациите трябва да обърнат внимание, добави Уолтърс. „Като се има предвид високата ѝ CVSS оценка и фактът, че тя се експлоатира активно, това прави CVE-2023-36025 една от уязвимостите, които трябва да бъдат приоритетно поправяни.“

Два бъга – CVE-2023-36038, уязвимост за отказ на услуга, засягаща ASP.NET Core, и CVE-2023-36413, недостатък в заобикалянето на функцията за сигурност в Microsoft Office – бяха публично разкрити преди ноемврийския Patch Tuesday, но са неизползвани до момента.

Грешки с критична тежест

Трите уязвимости в ноемврийската актуализация, които Microsoft оценява като критични по сериозност, са: CVE-2023-36397 – отдалечено изпълнение на код (RCE) в протокола Pragmatic General Multicast на Windows за пренос на многоадресни данни; CVE-2023-36400 – грешка, свързана с повишаване на привилегиите, във функцията Windows HMAC Key Derivation; и CVE-2023-36052 – грешка, свързана с разкриване на информация в компонент на Azure.

От трите критични бъга CVE-2023-36052 вероятно е проблемът, който организациите трябва да приоритизират, казва Джон Галахър, вицепрезидент на Viakoo Labs във Viakoo. Грешката позволява на нападателя да използва общи команди за интерфейса на командния ред, за да получи достъп до пълномощни в обикновен текст: потребителски имена и пароли. „Тези идентификационни данни вероятно могат да се използват в други среди, различни от Azure DevOps или GitHub, и следователно създават спешен риск за сигурността“, казва Галахър.

В публикация в блога на Центъра за интернет бури на SANS Йоханес Улрих, декан на изследователския отдел на Технологичния институт на SANS, посочва проблема в прагматичния общ мултикаст като проблем, който трябва да се наблюдава. „CVE-2023-36397, уязвимост с отдалечено изпълнение на код в протокола Pragmatic General Multicast (PGM) на Windows, заслужава внимание, тъй като имахме кръпки за това в предишни месеци“, пише Улрих. „Но експлоатацията би трябвало да е трудна. Тя ще изисква достъп до локалната мрежа и обикновено не е разрешена.“

Джейсън Китка, CISO на Automox, също посочи една уязвимост със средна степен на тежест за повишаване на привилегиите (CVE-2023-36422) като бъг, който екипите по сигурността не трябва да пренебрегват. Въпреки че Microsoft класифицира бъга като „Важен“ проблем, заплахата, която  представлява, е критична, тъй като нападателят може да получи системни привилегии чрез използване на уязвимостта, пише Китка в публикация в блога. „Най-ефективната стратегия за смекчаване на последиците от подобна заплаха е незабавното прилагане на наличните пачове и осигуряване на тяхната актуалност“, пише той.

 

Източник: DARKReading

Подобни публикации

10 септември 2024

Как да създадем и подобрим сигурността на крайн...

Поради голямата си атакувана повърхност, съставена от различни набо...
10 септември 2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно преслед...
10 септември 2024

Използването на търговски шпионски софтуер се з...

Усилията на САЩ и други правителства да ограничат разработването, и...
10 септември 2024

300 000 души са засегнати от пробива на данните...

Avis Car Rental уведомява близо 300 000 души, че личната им информа...
10 септември 2024

Двама са обвинени в САЩ за организиране на паза...

САЩ повдигнаха обвинения на гражданин на Казахстан и гражданин на Р...
9 септември 2024

Шпионският софтуер Predator се появи отново с н...

Шпионският софтуер Predator се е появил отново с нова инфраструктур...
9 септември 2024

Един милион клиенти на Kaspersky в САЩ са прехв...

Клиентите на Kaspersky в Съединените щати са уведомени, че абонамен...
Бъдете социални
Още по темата
09/09/2024

CISA сигнализира за грешки ...

Миналата седмица американската Агенция за киберсигурност...
09/09/2024

Progress LoadMaster е уязви...

Progress Software издаде спешна поправка за...
08/09/2024

Microsoft Office 2024 ще де...

След пускането на Office 2024 през...
Последно добавени
10/09/2024

Как да създадем и подобрим ...

Поради голямата си атакувана повърхност, съставена...
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
10/09/2024

Използването на търговски ш...

Усилията на САЩ и други правителства...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!