Microsoft avslöjar kritiska Hyper-V-brister i uppdateringen av lågvolympatch

Microsoft utfärdade patchar för 60 unika CVE:er i sin Patch Tuesday-säkerhetsuppdatering för mars, varav endast två är klassade som "kritiska" och kräver prioriterad uppmärksamhet. Båda påverkar Windows Hyper-V-virtualiseringstekniken: CVE-2024-21407, en bugg för fjärrkörning av kod (RCE); och CVE-2024-21408, vilket är en sårbarhet för denial-of-service (DoS). 

Uppdateringen innehåller korrigeringar för totalt 18 RCE-brister och två dussin privilegieöverskridande sårbarheter, varav några tillåter hotaktörer att få administrativ kontroll över drabbade system.

Anmärkningsvärt är att flera sårbarheter som Microsoft bedömer som endast av "viktig" svårighetsgrad och mindre benägna att utnyttjas fortfarande har svårighetspoäng på mer än 9.0 av 10 på CVSS-sårbarhets-allvarlighetsskalan på grund av deras potentiella inverkan, om de missbrukas.

"Denna månads Patch Tisdag presenterar en minskning av fixerade sårbarheter från Microsoft, totalt 60, en minskning från förra månadens 74 uppdateringar”, skrev Mike Walters, VD och medgrundare av Action1, i e-postade kommentarer. "Särskilt frånvarande denna månad är några nolldagars sårbarheter eller proofs of concept (PoCs), som understryker ett ögonblick av relativt lugn.”

Kritiska RCE, DoS Hyper-V sårbarheter

RCE-buggen i Hyper-V ger angripare ett sätt att ta fullständig kontroll över drabbade system och potentiellt äventyra virtuella maskiner som finns på Hyper-V-servern, säger Sarah Jones, cyberhotsunderrättelseanalytiker på Critical Start.

DoS-sårbarheten tillåter samtidigt en motståndare att krascha Hyper-V-tjänsten, vilket gör den oanvändbar.

"Detta kan hindra användare från att komma åt virtuella maskiner (VM) som är värd på Hyper-V-servern, vilket potentiellt kan orsaka betydande avbrott i kritisk affärsverksamhet," noterar Jones. "Om du använder Hyper-V är det avgörande att installera säkerhetsuppdateringarna omedelbart för att åtgärda dessa kritiska sårbarheter och skydda dina system."

En uppsjö av Microsoft Privilege-Eskaleringsbuggar

Microsoft identifierade sex av de sårbarheter som de avslöjade denna vecka som brister som hotaktörer är mer benägna att utnyttja i framtiden. De flesta av dessa var sårbarheter för höjning av privilegier. De inkluderade CVE-2024-26170 i Windows Composite Image File System; CVE-2024-26182 i Windows Kernel; CVE-2024-21433 i Windows Print Spooler; och CVE-2024-21437 i Windows Graphics Component.

Satnam Narang, senior forskare vid Tenable, beskrev bristerna i privilegieupptrappningen som sannolikt att vara av mer intresse i ett scenario efter exploateringen för avancerade persistent hot (APT) aktörer, snarare än för ransomware-grupper och andra ekonomiskt motiverade aktörer.

"En APT-grupps mål är vanligtvis spionagerelaterat", förklarade Narang i ett uttalande via e-post. "APT-grupper föredrar att hålla sig under radarn så mycket som möjligt, medan en ransomware-filial är fokuserad på mer av en smash-and-grab-strategi eftersom deras syfte är ekonomisk vinning."

I en e-postkommentar pekade Ben McCarthy, ledande cybersäkerhetsingenjör på Immersive Labs, på sårbarheten för höjning av privilegier i Windows Kernel (CVE-2024-26182) som något en angripare endast skulle kunna utnyttja om de redan fått tillgång till ett påverkat system . Men när den väl lyckats skulle buggen göra det möjligt för en angripare att få fullständiga privilegier på systemnivå.  

"Den här typen av sårbarhet används normalt för att helt ta över en viktig maskin i ett nätverk, till exempel en Active Directory eller en viktig Windows-server," sa McCarthy.

Microsoft-buggar: Viktigt, men hög prioritet

En stor bugg som Microsoft bara bedömde som "viktig" var CVE-2024-21334, en 9.8-klassad RCE-sårbarhet i Open Management Infrastructure (OMI). Saeed Abbasi, chef för sårbarhetsforskning vid Qualys hotforskningsenhet, identifierar buggen som en som borde vara högt upp på patchprioritetslistan på grund av den poängen.

"Denna sårbarhet tillåter fjärranslutna, oautentiserade angripare att exekvera godtycklig kod på exponerade OMI-instanser via Internet genom att skicka specialgjorda förfrågningar som utnyttjar ett use-after-free-fel", säger Abbasi. "Med tanke på OMI:s roll i att hantera IT-miljöer är den potentiella påverkan enorm och påverkar potentiellt många system tillgängliga online."

Även om Microsoft anser att exploatering är mindre sannolikt, tyder enkelheten i attackvektorn – en användning efter fri (UAF) bugg – mot en kritisk komponent att hotnivån inte bör underskattas, varnar han. Tidigare har buggar som t.ex OMIGOD uppsättning OMI-sårbarheter 2021 har varit av stort intresse för angripare.

CVE-2024-20671, en säkerhetsfunktion i Microsoft Defender som förbigår fel, och CVE-2024-21421, en spoofing-sårbarhet i Azure SDK, är två andra brister som förtjänar större uppmärksamhet än deras "viktiga" betyg skulle antyda, enligt vissa säkerhetsexperter.

"Även om dessa specifika sårbarheter har lösningar eller patchar, är det ökade fokuset för hotaktörer i dessa riktningar oroande," sa Tyler Reguly, senior chef för säkerhet på Fortra, i förberedda kommentarer.

Han pekade också på en bugg för höjning av privilegier i Microsoft Authenticator (CVE-2024-21390) som något som administratörer bör vara uppmärksamma på. "Framgångsrik exploatering av sårbarheten kan tillåta angriparen att få tillgång till användarnas multifaktorautentiseringskoder [MFA]", sa Reguly. "Microsoft har betygsatt detta med en CVSS-poäng på 7.1 och angett att användarinteraktion krävs eftersom offret skulle behöva stänga och sedan öppna applikationen igen."

Sammantaget, för administratörer som är vana vid att hantera stora Microsoft patchvolymer, har de senaste tre månaderna varit något av en paus från det vanliga. Detta är till exempel andra månaden i rad som Microsoft inte har avslöjat en nolldagarsbugg i sin månatliga säkerhetsuppdatering. Hittills, under årets första kvartal, har Microsoft utfärdat patchar för totalt 181 CVE:er, vilket är avsevärt lägre än dess genomsnitt för första kvartalet på 237 patchar under vart och ett av de föregående fyra åren, noterade Tenables Narang.

"Det genomsnittliga antalet CVE: er lappade i mars under de senaste fyra åren var 86," sa Narang. "Den här månaden lappades endast 60 CVE."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/vulnerabilities-threats/microsoft-discloses-two-critical-hyper-v-flaws-low-volume-patch-update