Η Microsoft vydala aktualizace zabezpečení pro měsíc duben 2024, aby opravila rekord 149 závad , z nichž dva byly aktivně využívány ve volné přírodě.
Ze 149 defektů jsou tři hodnoceny jako kritické, 142 je hodnoceno jako důležité, tři jsou hodnoceny jako střední a jeden je hodnocen jako nízká závažnost. Aktualizace nepřipadá v úvahu 21 zranitelností které společnost čelí ve svém prohlížeči Edge založeném na Chromu po vydání Opravy oprav z března úterý 2024 .
Dva nedostatky, které byly aktivně využívány, jsou následující:
- CVE-2024-26234 (CVSS skóre: 6,7) – Chyba zabezpečení falšování ovladače proxy
- CVE-2024-29988 (CVSS skóre: 8,8) – Bezpečnostní funkce SmartScreen Prompt obcházejí zranitelnost
I když informační zpráva společnosti Microsoft neposkytuje informace o CVE-2024-26234, kybernetická společnostbezpečnostSpolečnost Sophos uvedla, že v prosinci 2023 objevila škodlivý spustitelný soubor („Catalog.exe“ nebo „Catalog Authentication Client Service“), tj. podepsaný od platného vydavatele hardwarové kompatibility Microsoft Windows ( WHCP ) certifikát.
Analýza Authenticode binárky odhalil původního žádajícího vydavatele společnosti Hainan YouHu Technology Co. Ltd, která je také vydavatelem dalšího nástroje s názvem LaiXi Android Screen Mirroring.
Ten je popsán jako „marketingový software … [který] dokáže propojit stovky mobilních telefonů a ovládat je v dávkách a automatizovat úkoly, jako je skupinové sledování, lajkování a komentování“.
V rámci předpokládané autentizační služby je volána komponenta 3 proxy který je navržen tak, aby monitoroval a zachycoval síťový provoz na infikovaném systému a účinně fungoval jako zadní vrátka.
"Nemáme žádné důkazy, které by naznačovaly, že vývojáři LaiXi úmyslně integrovali škodlivý soubor do svého produktu nebo že aktér hrozby provedl útok na dodavatelský řetězec, aby jej vložil do procesu sestavení/sestavení aplikace LaiXi," prohlásil Výzkumník Sophos Andreas Klopsch. .
Společnost zabývající se kybernetickou bezpečností také uvedla, že do 5. ledna 2023 objevila několik dalších variant backdoor ve volné přírodě, což naznačuje, že kampaň běží minimálně od té doby. Microsoft od té doby přidal příslušné soubory na svůj seznam stažení.
"Aby mohl útočník obejít zranitelnost této bezpečnostní funkce, musel by přesvědčit uživatele, aby spouštěl škodlivé soubory pomocí spouštěče, který požaduje, aby se nezobrazovalo žádné uživatelské rozhraní," uvedl Microsoft.
"Ve scénáři útoku e-mailem nebo rychlým zasíláním zpráv by útočník mohl poslat cílovému uživateli speciálně vytvořený soubor navržený tak, aby zneužil chybu zabezpečení umožňující vzdálené spuštění kódu."
Iniciativa Zero Day odhaleno že existují důkazy o zneužití chyby ve volné přírodě, ačkoli ji společnost Microsoft označila hodnocením „Nejpravděpodobnější využití“.
Dalším důležitým problémem je zranitelnost CVE-2024-29990 (CVSS skóre: 9.0), vylepšená chyba v oprávnění ovlivňující důvěrný kontejner služby Microsoft Azure Kubernetes, kterou by mohli zneužít neověření útočníci ke krádeži přihlašovacích údajů.
„Útočník může získat přístup k nedůvěryhodnému uzlu AKS Kubernetes a AKS Confidential Container, aby mohl převzít důvěrné hosty a kontejnery mimo síťový zásobník, ke kterému mohou být vázáni,“ řekl Redmond.
Celkově je vydání pozoruhodné tím, že řeší až 68 vzdálených spouštění kódu, 31 eskalace oprávnění, 26 obejití bezpečnostních funkcí a šest chyb DoS (Denial-of-service). Zajímavé je, že 24 z 26 chyb vynechání zabezpečení souvisí se Secure Boot.
"I když žádná z těchto zranitelností." Secure Boot řešené tento měsíc nebyly využívány ve volné přírodě, slouží jako připomínka toho, že chyby v Secure Boot stále existují a v budoucnu bychom mohli vidět další škodlivé aktivity související s Secure Boot,“ řekl Satnam Narang, vedoucí výzkumný inženýr společnosti Tenable. prohlášení.
Odhalení přichází stejně jako Microsoft čelit kritice o svých bezpečnostních postupech, s nedávnou zprávou z Board of Review Kybernetická bezpečnost(CSRB) vyzval společnost, že nedělala dost, aby zabránila kyberšpionážní kampani organizované čínským aktérem hrozeb sledovaným jako Storm. -0558 minulý rok.
Vyplývá to i z rozhodnutí společnosti publikovat data hlavní příčiny pro bezpečnostní chyby pomocí průmyslového standardu Common Weakness Enumeration (CWE). Je však třeba poznamenat, že změny platí pouze počínaje upozorněními zveřejněnými od března 2024.
„Přidání hodnocení CWE do bezpečnostního poradenství společnosti Microsoft pomáhá identifikovat celkovou hlavní příčinu zranitelnosti,“ řekl Adam Barnett, hlavní softwarový inženýr společnosti Rapid7, v prohlášení sdíleném s The Hacker News.
„Program CWE nedávno aktualizoval své pokyny mapování CVE na hlavní příčinu CWE . Analýza trendů CWE může vývojářům pomoci snížit budoucí výskyty prostřednictvím vylepšených pracovních postupů a testování SDLC (Software Development Life Cycle) a také pomoci obráncům pochopit, kam nasměrovat úsilí o hloubkovou obranu a posílit vývoj pro lepší návratnost investic.
V souvisejícím vývoji odhalila kyberbezpečnostní firma Varonis dvě metody, které by útočníci mohli použít, aby obešli protokoly auditu a zabránili spouštění událostí stahování při exportu souborů ze SharePointu.
První přístup využívá funkci SharePointu „Otevřít v aplikaci“ pro přístup k souborům a jejich stahování, zatímco druhý využívá uživatelského agenta pro Microsoft SkyDriveSync ke stahování souborů nebo dokonce celých webů, přičemž tyto události nesprávně klasifikuje jako synchronizace souborů namísto stahování.
"Tyto techniky mohou obejít zásady detekce a vynucení tradičních nástrojů, jako jsou zprostředkovatelé zabezpečení přístupu ke cloudu, prevence ztráty dat a SIEM, tím, že stažené soubory budou maskovat jako méně podezřelé události přístupu a synchronizace," řekl Eric Saraga.
Opravy softwaru třetích stran
Kromě Microsoftu v posledních týdnech vydali aktualizace zabezpečení také jiní dodavatelé, aby opravili několik slabých míst, včetně:
- Adobe
- AMD
- Android
- Apache XML Security pro C++
- Sítě Aruba
- Atos
- Bosch
- Cisco
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Chrome
- Google Cloud
- Google Pixel
- Hikvision
- Energie Hitachi
- HP
- HPE Enterprise
- HTTP / 2
- IBM
- Ivanta
- Jenkins
- Lenovo
- LG webOS
- Distribuce Linuxu Debian, Oracle Linux, Red Hat, SUSE, a ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR a Thunderbird
- NETGEAR
- NVIDIA
- Qualcomm
- Rockwell Automation
- Rez
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- VMware
- WordPress
- zoom