Патч Microsoft у вівторок переслідує Zero-Days, Wormable Bug

У жовтневому оновленні Patch Tuesday корпорація Майкрософт позначила дві вразливості системи безпеки нульового дня, що піддаються активній атаці, і вони впливають на Microsoft WordPad і Skype для бізнесу. У випуску також міститься критична помилка в черзі повідомлень, яка може викликати жах у адміністраторів уразливих систем.

Ці дві помилки є частиною загальних 103 CVE, які обчислювальний гігант розглянув цього місяця. Патчі включають весь спектр портфоліо Microsoft, включаючи Azure, ASP.NET, Core і Visual Studio; Exchange Server; Office, Microsoft Dynamics і Windows.

Відповідно для жовтня кількість критично оцінених вразливостей досягає нещасливих 13; і, зокрема, цілих 20% виправлень в оновленні стосуються черги повідомлень Microsoft (MSMQ).

Жовтень 2023 р. Помилки під активним експлойтом

Потрапляючи в табір активних експлойтів, першою проблемою в дикій природі є CVE-2023-36563, помилка розкриття інформації в програмі обробки текстів WordPad, яка може відкрити двері для Релейні атаки NTLM шляхом розкриття хешів NTLM.

«Щоб використати цю вразливість, зловмисник повинен спочатку отримати доступ до системи», — пояснив Майк Волтерс, президент і співзасновник Action1, у Коментар жовтневого патча у вівторок. «Згодом вони запустять спеціально розроблену програму, призначену для використання вразливості та контролю над ураженою системою».

Він додав: «Альтернативно, зловмисник може переконати локального користувача відкрити шкідливий файл. Це переконання може включати спонукання користувача натиснути посилання, часто через електронну пошту або миттєве повідомлення, а потім переконання відкрити спеціально створений файл».

Що стосується пом’якшення, «Microsoft не вказує жодного вектора панелі попереднього перегляду, тому потрібна взаємодія користувача», — сказав Дастін Чайлдс, дослідник Ініціатива Zero Day від Trend Micro у блозі. «Крім застосування цього патча, вам слід розглянути питання про блокування вихідного NTLM через SMB у Windows 11. Ця нова функція не привернула особливої ​​уваги, але вона може значно перешкоджати експлойтам ретрансляції NTLM».

Між тим, CVE-2023-41763 у Skype для бізнесу готовий переслідувати мрії адміністратора. Це вказано як проблему підвищення привілеїв, але Чайлдс зазначив, що це слід розглядати як проблему розкриття інформації.

«Зловмисник може використати цю вразливість, ініціювавши спеціально створений мережевий виклик до цільового сервера Skype для бізнесу», — сказав Волтерс. «Ця дія може призвести до розбору HTTP-запиту, надісланого на довільну адресу, потенційно виявляючи IP-адреси та номери портів».

Він додав, що деяка конфіденційна інформація може бути розкрита, включаючи в деяких випадках дані, які можуть надати доступ до внутрішніх мереж. Однак це не дозволить зловмиснику змінити викриті дані або обмежити доступ до ураженого ресурсу.

20 Уразливості черги повідомлень Microsoft

Крім того, цього місяця захисники кібербезпеки викликають жах у повних 20 різних уразливостях MSMQ, які разом становлять величезний відсоток від загальної кількості виправлень у жовтні. Один з них, CVE-2023-35349, заслуговує на відзнаку як найстрашніша (тобто найсерйозніша) проблема місяця; він має критичну оцінку CVSS 9.8 з 10.

Помилка дозволяє неавтентифіковане віддалене виконання коду (RCE) без взаємодії з користувачем, що означає, що проблема є шкідливою для систем, де ввімкнено чергу повідомлень.

MSMQ використовується, щоб дозволити програмам на кількох серверах або хостах спілкуватися один з одним, а також дозволити зберігати зв’язки та ставити їх у чергу за потреби. Він не ввімкнено за замовчуванням, але Microsoft Exchange Server може ввімкнути його під час інсталяції, за словами Роба Рівза, головного інженера безпеки в Immersive Labs.

«Цілком ймовірно, що успішна атака надасть зловмиснику дозволи на рівні SYSTEM для цілі або дозволить використовувати ядро», — сказав він у коментарі до виправлення, надісланому електронною поштою у вівторок. «Для корпоративного середовища буде вважатися незвичайним публічно розкривати службу MSMQ в Інтернеті... тому розумно припустити, що для використання цієї вразливості в атаці зловмисник спочатку успішно здійснить фішинг цільової мережі та виявить уразливу службу. під час перерахування».

Користувачам слід негайно встановлювати виправлення, але вони також можуть пом’якшити проблему, заблокувавши зв’язок через TCP-порт 1801 від ненадійних з’єднань через брандмауер, додав Рівз.

Чайлдс зауважив, що інші помилки MSMQ є сумішшю проблем RCE, які вимагають взаємодії з користувачем, і недоліків DoS, які не потребують.

«Microsoft не заявляє, чи успішне використання призведе до простого припинення служби або синього екрану всієї системи», — зазначив він. «Вони також не відзначають, чи система автоматично відновиться після завершення експлойту DoS. Цього року було виправлено багато помилок черги повідомлень, тож зараз чудовий час перевірити ваше підприємство, щоб визначити вашу загрозу».

Інші проблеми Microsoft Bugbears, які слід визначити пріоритетом цього місяця

Що стосується інших монстрів безпеки, на яких варто звернути увагу, CVE-2023-36434 у Windows IIS Server виділяється, згідно з ZDI's Childs. Зловмисник, який успішно використовує помилку, може увійти на уражений сервер IIS як інший користувач.

Корпорація Майкрософт позначила вразливість, пов’язану з підвищенням привілеїв, як «важливу», оскільки для її використання загрозливий суб’єкт повинен уже бути присутнім у мережі, але вона має рейтинг CVSS 9.8.

«Сьогодні атаки грубою силою можна легко автоматизувати», — зазначив Чайлдс. «Якщо ви використовуєте IIS, ви повинні сприймати це як критичне оновлення та швидко виправити».

Уолтерс з Action1 тим часом виділив групу з дев’яти вразливостей RCE у протоколі тунелювання рівня 2, усі з яких мають оцінку CVSS 8.1 (CVE-2023-41774, CVE-2023-41773, CVE-2023-41771, CVE-2023-41770, CVE-2023-41769, CVE-2023-41768, CVE-2023-41767, CVE-2023-41765 та CVE-2023-38166).

«Вони мають мережевий вектор атаки, мають високий рівень складності для успішної експлуатації, не вимагають жодних спеціальних привілеїв і не вимагають взаємодії з користувачем», — сказав він. «Їхня експлуатація надзвичайно складна… Щоб успішно використати ці вразливості, зловмисник повинен подолати гонку. Неавтентифікований зловмисник може досягти цього, надіславши ретельно створене повідомлення протоколу на сервер служби маршрутизації та віддаленого доступу (RRAS).»

Уразливість RCE у компонентах доступу до даних Microsoft Windows (WDAC) OLE DB для SQL Server (CVE-2023-36577, CVSS 8.8) привернув увагу Джейсона Кікти, CISO та старшого віце-президента Automox.
«Провайдер Microsoft WDAC OLE DB для SQL Server — це набір компонентів, призначених для полегшення ефективного доступу до даних із баз даних Microsoft SQL Server до кінцевих точок», — сказав він у повідомленні про оновлення у вівторок. «Це ключовий елемент WDAC, який дозволяє розробникам створювати програми, здатні спілкуватися практично з будь-яким джерелом даних, включаючи SQL Server. Ця вразливість може дозволити зловмиснику виконати довільний код у цільовій системі, переконавши користувача підключитися до шкідливої ​​бази даних».

Він зазначив: «Ці атаки можна пом’якшити, налаштувавши середовище для підключення лише до надійних серверів і забезпечивши перевірку сертифікатів».
І, нарешті, Кріс Геттл, віце-президент із продуктів безпеки в Ivanti, зазначив той факт, що жовтневий патч вівторок містить останні оновлення для Windows 11 21H2 і Microsoft Server 2012/2012 R2.

«Останні переходять у розширену підтримку безпеки (ESU), починаючи з випуску в листопаді, і Microsoft також оголосила, що ключі, які використовуються для ввімкнення цих оновлень, будуть керуватися як частина Azure Arc. Вони мають бути звільнені наступного тижня», – сказав він у коментарі електронною поштою.

«Програмне забезпечення з вичерпаним терміном експлуатації становить ризик для організації», — попередив він. «Надалі публічні оновлення для цих версій ОС не будуть доступні. Для користувачів Windows 11 це означає оновлення до нової гілки Windows 11. Для Server 20122012 R2 настійно рекомендується підписатися на ESU або перейти на новішу версію сервера».

Випуск цього місяця також містить патч для щойно розкрита помилка розподіленої відмови в обслуговуванні (DDoS) HTTP/2 Rapid Reset, а також для зовнішньої помилки Chromium, яка впливає на Microsoft Edge.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/vulnerabilities-threats/microsoft-patch-tuesday-haunted-zero-days-wormable-bug