Microsoft Patch Tuesday Kummittaa Zero-Days, Wormable Bug

Microsoft ilmoitti lokakuun korjaustiistai-päivityksessä kaksi nollapäivän tietoturvahaavoittuvuutta, jotka vaikuttavat Microsoft WordPadiin ja Skype for Businessiin. Julkaisussa on myös kriittisesti arvioitu, madotettava virhe Message Queuingissa, joka voi aiheuttaa kauhua haavoittuvien järjestelmien ylläpitäjille.

Nämä kaksi vikaa ovat osa 103 CVE:n ryhmää, joihin tietojenkäsittelyjätti on puuttunut tässä kuussa. Korjaukset kattavat Microsoftin portfolion, mukaan lukien Azure, ASP.NET, Core ja Visual Studio; Exchange-palvelin; Office, Microsoft Dynamics ja Windows.

Asianmukaisesti lokakuussa kriittisten haavoittuvuuksien määrä on onneton 13; Erityisesti 20 % päivityksen korjauksista liittyy Microsoft Message Queuingiin (MSMQ).

Lokakuu 2023 bugeja aktiivisen hyväksikäytön alla

Hiuksia nostattavaan aktiiviseen hyväksikäyttöleiriin putoaminen on ensimmäinen luonnossa hyökkäyksen kohteena oleva ongelma CVE-2023-36563, WordPadin tekstinkäsittelyohjelman tietojen paljastamisvirhe, joka voi avata oven NTLM-välityshyökkäykset paljastamalla NTLM-tiivisteet.

"Hyödyntääkseen tätä haavoittuvuutta, hyökkääjän on ensin päästävä järjestelmään", Action1:n puheenjohtaja ja perustaja Mike Walters selitti. Lokakuun Patch Tiistain kommentti. "Myöhemmin he käyttäisivät erityisesti muotoiltua sovellusta, joka on suunniteltu hyödyntämään haavoittuvuutta ja ottamaan järjestelmän hallintaansa."

Hän lisäsi: "Vaihtoehtoisesti hyökkääjä voisi suostutella paikallisen käyttäjän avaamaan haitallisen tiedoston. Tämä suostuttelu saattaa sisältää käyttäjän houkuttelemisen napsauttamaan linkkiä, usein sähköpostilla tai pikaviestillä, ja sitten vakuuttamista avaamaan erityisesti muotoiltu tiedosto."

Mitä lieventämiseen tulee, "Microsoft ei lue mitään esikatseluruudun vektoria, joten käyttäjän vuorovaikutusta tarvitaan", sanoi Dustin Childs, tutkija Trend Micron Zero Day Initiative -aloite blogissa. "Tämän korjaustiedoston asentamisen lisäksi kannattaa harkita lähtevän NTLM:n estämistä SMB:n kautta Windows 11:ssä. Tämä uusi ominaisuus ei ole saanut paljon huomiota, mutta se voi merkittävästi haitata NTLM-välityshyötyjä."

Samaan aikaan, CVE-2023-41763 Skype for Businessissa on valmis kummittelemaan järjestelmänvalvojien unelmia. Se on lueteltu etuoikeuksien korotusongelmana, mutta Childs huomautti, että sitä pitäisi käsitellä tietojen paljastamisongelmana.

"Hyökkääjä voi hyödyntää tätä haavoittuvuutta käynnistämällä erityisesti muodostetun verkkopuhelun kohteena olevaan Skype for Business -palvelimeen", Walters sanoi. "Tämä toiminto voi johtaa mielivaltaiseen osoitteeseen lähetetyn HTTP-pyynnön jäsentämiseen, mikä saattaa paljastaa IP-osoitteet ja porttinumerot."

Hän lisäsi, että jotkut arkaluontoiset tiedot voivat paljastua, mukaan lukien joissakin tapauksissa tiedot, jotka voivat antaa pääsyn sisäisiin verkkoihin. Se ei kuitenkaan anna hyökkääjän muokata paljastuneita tietoja tai rajoittaa pääsyä resursseihin, joita asia koskee.

20 Microsoft Message Queuing -haavoittuvuuksia

Kyberturvallisuuden puolustajia saavat tässä kuussa myös 20 erilaista MSMQ-haavoittuvuutta, jotka yhdessä edustavat ylimitoitettua prosenttiosuutta lokakuun korjauksista. Yksi heistä, CVE-2023-35349, ansaitsee tunnustuksen kuukauden pelottavimmaksi (eli vakavimmaksi) ongelmaksi; sen CVSS-kriittinen pistemäärä on 9.8/10.

Virhe sallii todentamattoman etäkoodin suorittamisen (RCE) ilman käyttäjän toimia, mikä tarkoittaa, että ongelma on madotettava järjestelmissä, joissa viestijono on käytössä.

MSMQ:ta käytetään mahdollistamaan useiden palvelimien tai isäntien olevien sovellusten kommunikointi keskenään ja viestinnän tallentamisen ja jonoon asettamisen tarpeen mukaan. Se ei ole oletuksena käytössä, mutta Microsoft Exchange Server voi ottaa sen käyttöön asennuksen aikana Immersive Labsin päätietoturvainsinöörin Rob Reevesin mukaan.

"On erittäin todennäköistä, että onnistunut hyökkäys antaa hyökkääjälle JÄRJESTELMÄtason oikeudet kohteeseen tai mahdollistaa ytimen hyödyntämisen", hän sanoi Patch Tuesday -kommentissa. "Olisi epätavallista, että yritysympäristö paljastaisi MSMQ-palvelun julkisesti Internetissä... joten on järkevää olettaa, että hyökkääjä olisi ensin onnistunut tietojenkalastelulla kohdeverkosta ja löytänyt haavoittuvan palvelun hyödyntääkseen tätä haavoittuvuutta hyökkäyksessä. laskennan aikana."

Käyttäjien tulee korjata välittömästi, mutta he voivat myös lieventää ongelmaa estämällä tietoliikenteen TCP-portissa 1801 epäluotettavilta yhteyksiltä palomuurin kautta, Reeves lisäsi.

Childs huomautti, että muut MSMQ-virheet ovat sekoitus RCE-ongelmia, jotka vaativat käyttäjän toimia, ja DoS-virheitä, jotka eivät vaadi.

"Microsoft ei ilmoita, jos onnistunut hyväksikäyttö yksinkertaisesti pysäyttäisi palvelun tai sinisen näytön koko järjestelmän", hän huomautti. "He eivät myöskään huomaa, palautuuko järjestelmä automaattisesti DoS-hyödyntämisen päätyttyä. Tänä vuonna on korjattu monia Message Queuing -virheitä, joten nyt on hyvä aika auditoida yrityksesi ja määrittää altistuminen."

Muut Microsoft Bugbears priorisoivat tässä kuussa

Mitä tulee muihin turvahirviöihin, joita etsitään, CVE-2023-36434 Windowsissa IIS Server erottuu ZDI's Childsin mukaan. Hyökkääjä, joka hyödyntää virhettä onnistuneesti, voi kirjautua IIS-palvelimelle toisena käyttäjänä.

Microsoft luokitteli käyttöoikeuksien korottamisen haavoittuvuuden "tärkeäksi", koska uhkatekijän on oltava jo olemassa verkossa voidakseen käyttää sitä, mutta sillä on CVSS 9.8 -luokitus.

"Nykyään raa'an voiman hyökkäykset voidaan helposti automatisoida", Childs huomautti. "Jos käytät IIS:tä, sinun tulee käsitellä tätä tärkeänä päivityksenä ja korjata nopeasti."

Action1:n Walters korosti samalla yhdeksän RCE-haavoittuvuuden ryhmän Layer 2 Tunneling Protocolissa, joiden kaikkien CVSS-pistemäärä on 8.1 (CVE-2023-41774, CVE-2023-41773, CVE-2023-41771, CVE-2023-41770, CVE-2023-41769, CVE-2023-41768, CVE-2023-41767, CVE-2023-41765ja CVE-2023-38166).

"Heillä on verkkopohjainen hyökkäysvektori, ne ovat erittäin monimutkaisia ​​onnistuneeseen hyödyntämiseen, ne eivät vaadi erityisoikeuksia eivätkä vaadi käyttäjän vuorovaikutusta", hän sanoi. "Heidän hyväksikäyttö on erityisen monimutkaista... Jotta hyökkääjä voi hyödyntää näitä haavoittuvuuksia menestyksekkäästi, hänen on voitettava kilpailutilanne. Todentamaton hyökkääjä voi saavuttaa tämän lähettämällä huolellisesti laaditun protokollaviestin Routing and Remote Access Service (RRAS) -palvelimelle."

RCE-haavoittuvuus Microsoft Windows Data Access Components (WDAC) OLE DB -toimittajassa SQL Serverille (CVE-2023-36577, CVSS 8.8) kiinnitti Jason Kiktan, CISO:n ja Automoxin varatoimitusjohtajan huomion.
"Microsoft WDAC OLE DB Provider for SQL Server on joukko komponentteja, jotka on suunniteltu helpottamaan tehokasta tietojen käyttöä Microsoft SQL Server -tietokannoista päätepisteisiin", hän sanoi Patch Tuesday -neuvonnassa. ”Se on WDAC:n avainelementti, jonka avulla kehittäjät voivat luoda sovelluksia, jotka pystyvät kommunikoimaan lähes minkä tahansa tietolähteen kanssa, mukaan lukien SQL Server. Tämä haavoittuvuus saattaa antaa hyökkääjän suorittaa mielivaltaisen koodin kohteena olevassa järjestelmässä vakuuttamalla käyttäjän muodostamaan yhteyden haitalliseen tietokantaan."

Hän huomautti: "Näitä hyökkäyksiä voidaan lieventää määrittämällä ympäristö muodostamaan yhteys vain luotettuihin palvelimiin ja pakottamalla varmenteiden vahvistus."
Ja lopuksi Chris Goettl, Ivantin tietoturvatuotteiden varatoimitusjohtaja, ilmoitti, että lokakuun korjaustiistai sisältää viimeisimmät päivitykset Windows 11 21H2:lle ja Microsoft Server 2012/2012 R2:lle.

"Jälkimmäiset siirtyvät Extended Security Support (ESU) -tukeen marraskuun julkaisusta alkaen, ja Microsoft ilmoitti myös, että näiden päivitysten mahdollistamiseen käytetyt avaimet tullaan hallitsemaan osana Azure Arcia. Niiden pitäisi julkaista ensi viikolla", hän sanoi sähköpostiviestissä.

"Elämänpään ohjelmistot ovat riski organisaatiolle", hän varoitti. "Näille käyttöjärjestelmäversioille ei ole jatkossa saatavilla julkisia päivityksiä. Windows 11 -käyttäjille tämä tarkoittaa päivittämistä uuteen Windows 11 -haaraan. Server 20122012 R2:lle on erittäin suositeltavaa tilata ESU tai siirtyä uudempaan palvelinversioon."

Tämän kuun julkaisu sisältää myös korjaustiedoston juuri paljastettu HTTP/2 Rapid Reset hajautettu palvelunesto (DDoS) -virhe, sekä yksi ulkoisesta Chromium-virheestä, joka vaikuttaa Microsoft Edgeen.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/vulnerabilities-threats/microsoft-patch-tuesday-haunted-zero-days-wormable-bug