Microsoft выпустила обновления для системы безопасности на апрель 2024 года, чтобы устранить рекордные 149 недостатков, два из которых активно использовались в дикой природе.
Из 149 недостатков три оценены как критические, 142 - как Важные, три - как умеренные и один - как низкий по степени серьезности. Обновление не касается 21 уязвимости, которую компания устранила в своем браузере Edge на базе Chromium после выпуска исправлений во вторник в марте 2024 года.
Ниже приведены два недостатка, которые активно использовались -
Анализ аутентификационных кодов двоичного файла выявил первоначального отправителя запроса в Hainan YouHu Technology Co. Ltd, которая также является издателем другого инструмента под названием LaiXi Android Screen Mirroring.
Последнее описывается как "маркетинговое программное обеспечение ... [которое] может подключать сотни мобильных телефонов и управлять ими пакетно, а также автоматизировать такие задачи, как групповое отслеживание, лайк и комментирование".
В предполагаемой службе аутентификации присутствует компонент под названием 3proxy, который предназначен для мониторинга и перехвата сетевого трафика в зараженной системе, эффективно действуя как бэкдор.
"У нас нет доказательств того, что разработчики LaiXi намеренно внедрили вредоносный файл в свой продукт или что субъект угрозы провел атаку по цепочке поставок, чтобы внедрить его в процесс компиляции / сборки приложения LaiXi", - сказал исследователь Sophos Андреас Клопш.
Компания по кибербезопасности также заявила, что обнаружила множество других вариантов бэкдора в дикой природе, начиная с 5 января 2023 года, что указывает на то, что кампания ведется по крайней мере с тех пор. С тех пор Microsoft добавила соответствующие файлы в свой список отзыва.
Другой недостаток системы безопасности, который, как сообщается, подвергся активной атаке, - это CVE-2024–29988, который, подобно CVE-2024-21412 и CVE-2023-36025, позволяет злоумышленникам обойти защиту Smartscreen Microsoft Defender при открытии специально созданного файла.
"Чтобы воспользоваться этой уязвимостью для обхода функции безопасности, злоумышленнику потребуется убедить пользователя запустить вредоносные файлы с помощью приложения запуска, которое запрашивает, чтобы пользовательский интерфейс не отображался", - заявили в Microsoft.
"В сценарии атаки электронной почтой или мгновенными сообщениями злоумышленник может отправить целевому пользователю специально созданный файл, предназначенный для использования уязвимости удаленного выполнения кода".
Инициатива "Нулевой день" показала, что есть свидетельства использования этого недостатка в естественных условиях, хотя Microsoft пометила его оценкой "Более вероятное использование".
Еще одна важная уязвимость - это CVE-2024-29990 (оценка CVSS: 9.0), ошибка с повышением привилегий, влияющая на конфиденциальный контейнер Microsoft Azure Kubernetes Service Confidential Container, которая может быть использована злоумышленниками, не прошедшими проверку подлинности, для кражи учетных данных.
"Злоумышленник может получить доступ к ненадежному узлу AKS Kubernetes и конфиденциальному контейнеру AKS, чтобы завладеть конфиденциальными гостями и контейнерами за пределами сетевого стека, к которому он может быть привязан", - сказал Редмонд.
В целом, выпуск примечателен устранением 68 ошибок удаленного выполнения кода, 31 повышения привилегий, 26 обходов функций безопасности и шести ошибок, связанных с отказом в обслуживании (DoS). Интересно, что 24 из 26 ошибок обхода безопасности связаны с безопасной загрузкой.
"Хотя ни одна из этих уязвимостей безопасной загрузки, рассмотренных в этом месяце, не использовалась в полную силу, они служат напоминанием о том, что недостатки в безопасной загрузке сохраняются, и мы можем увидеть больше вредоносной активности, связанной с безопасной загрузкой в будущем", - говорится в заявлении Сатнама Наранга, старшего инженера-исследователя Tenable.
Раскрытие происходит на фоне того, что Microsoft столкнулась с критикой своих методов обеспечения безопасности: в недавнем отчете Совета по обзору кибербезопасности США (CSRB) компания обвиняется в том, что она недостаточно сделала для предотвращения кампании кибершпионажа, организованной китайским агентом, представляющим угрозу, отслеживаемым как Storm-0558 в прошлом году.
Это также следует за решением компании опубликовать данные о первопричинах недостатков безопасности с использованием отраслевого стандарта Common Weakness Enumeration (CWE). Однако стоит отметить, что изменения вступают в силу только с рекомендаций, опубликованных с марта 2024 года.
"Добавление оценок CWE в рекомендации Microsoft по безопасности помогает точно определить общую первопричину уязвимости", - сказал Адам Барнетт, ведущий инженер-программист Rapid7, в заявлении, опубликованном в Hacker News.
"Программа CWE недавно обновила свое руководство по сопоставлению CVE с основной причиной CWE. Анализ тенденций CWE может помочь разработчикам сократить количество ошибок в будущем за счет улучшения рабочих процессов жизненного цикла разработки программного обеспечения (SDLC) и тестирования, а также помочь защитникам понять, куда направить усилия по углубленной защите и усилению развертывания для максимальной отдачи от инвестиций".
В соответствующей разработке фирма по кибербезопасности Varonis подробно описала два метода, которые злоумышленники могут использовать, чтобы обойти журналы аудита и избежать запуска событий загрузки при извлечении файлов из SharePoint.
Первый подход использует преимущества функции SharePoint "Открыть в приложении" для доступа к файлам и их загрузки, тогда как второй использует пользовательский агент Microsoft SkyDriveSync для загрузки файлов или даже целых сайтов, ошибочно классифицируя такие события как синхронизацию файлов вместо загрузки.
Microsoft, которая была проинформирована о проблемах в ноябре 2023 года, до сих пор не выпустила исправления, хотя они были добавлены в их программу невыполненной работы с исправлениями. Тем временем организациям рекомендуется внимательно отслеживать свои журналы аудита на предмет подозрительных событий доступа, особенно тех, которые связаны с большими объемами загрузок файлов за короткий период.
"Эти методы могут обойти политики обнаружения и принудительного применения традиционных инструментов, таких как брокеры безопасности облачного доступа, предотвращение потери данных и SIEMs, скрывая загрузки как менее подозрительные события доступа и синхронизации", - сказал Эрик Сарага.
Из 149 недостатков три оценены как критические, 142 - как Важные, три - как умеренные и один - как низкий по степени серьезности. Обновление не касается 21 уязвимости, которую компания устранила в своем браузере Edge на базе Chromium после выпуска исправлений во вторник в марте 2024 года.
Ниже приведены два недостатка, которые активно использовались -
- CVE-2024-26234 (оценка CVSS: 6.7) - Уязвимость для подмены драйвера прокси
- CVE-2024-29988 (оценка CVSS: 8,8) - Уязвимость обхода функции безопасности SmartScreen Prompt
Анализ аутентификационных кодов двоичного файла выявил первоначального отправителя запроса в Hainan YouHu Technology Co. Ltd, которая также является издателем другого инструмента под названием LaiXi Android Screen Mirroring.
Последнее описывается как "маркетинговое программное обеспечение ... [которое] может подключать сотни мобильных телефонов и управлять ими пакетно, а также автоматизировать такие задачи, как групповое отслеживание, лайк и комментирование".
В предполагаемой службе аутентификации присутствует компонент под названием 3proxy, который предназначен для мониторинга и перехвата сетевого трафика в зараженной системе, эффективно действуя как бэкдор.
"У нас нет доказательств того, что разработчики LaiXi намеренно внедрили вредоносный файл в свой продукт или что субъект угрозы провел атаку по цепочке поставок, чтобы внедрить его в процесс компиляции / сборки приложения LaiXi", - сказал исследователь Sophos Андреас Клопш.
Компания по кибербезопасности также заявила, что обнаружила множество других вариантов бэкдора в дикой природе, начиная с 5 января 2023 года, что указывает на то, что кампания ведется по крайней мере с тех пор. С тех пор Microsoft добавила соответствующие файлы в свой список отзыва.
Другой недостаток системы безопасности, который, как сообщается, подвергся активной атаке, - это CVE-2024–29988, который, подобно CVE-2024-21412 и CVE-2023-36025, позволяет злоумышленникам обойти защиту Smartscreen Microsoft Defender при открытии специально созданного файла.
"Чтобы воспользоваться этой уязвимостью для обхода функции безопасности, злоумышленнику потребуется убедить пользователя запустить вредоносные файлы с помощью приложения запуска, которое запрашивает, чтобы пользовательский интерфейс не отображался", - заявили в Microsoft.
"В сценарии атаки электронной почтой или мгновенными сообщениями злоумышленник может отправить целевому пользователю специально созданный файл, предназначенный для использования уязвимости удаленного выполнения кода".
Инициатива "Нулевой день" показала, что есть свидетельства использования этого недостатка в естественных условиях, хотя Microsoft пометила его оценкой "Более вероятное использование".
Еще одна важная уязвимость - это CVE-2024-29990 (оценка CVSS: 9.0), ошибка с повышением привилегий, влияющая на конфиденциальный контейнер Microsoft Azure Kubernetes Service Confidential Container, которая может быть использована злоумышленниками, не прошедшими проверку подлинности, для кражи учетных данных.
"Злоумышленник может получить доступ к ненадежному узлу AKS Kubernetes и конфиденциальному контейнеру AKS, чтобы завладеть конфиденциальными гостями и контейнерами за пределами сетевого стека, к которому он может быть привязан", - сказал Редмонд.
В целом, выпуск примечателен устранением 68 ошибок удаленного выполнения кода, 31 повышения привилегий, 26 обходов функций безопасности и шести ошибок, связанных с отказом в обслуживании (DoS). Интересно, что 24 из 26 ошибок обхода безопасности связаны с безопасной загрузкой.
"Хотя ни одна из этих уязвимостей безопасной загрузки, рассмотренных в этом месяце, не использовалась в полную силу, они служат напоминанием о том, что недостатки в безопасной загрузке сохраняются, и мы можем увидеть больше вредоносной активности, связанной с безопасной загрузкой в будущем", - говорится в заявлении Сатнама Наранга, старшего инженера-исследователя Tenable.
Раскрытие происходит на фоне того, что Microsoft столкнулась с критикой своих методов обеспечения безопасности: в недавнем отчете Совета по обзору кибербезопасности США (CSRB) компания обвиняется в том, что она недостаточно сделала для предотвращения кампании кибершпионажа, организованной китайским агентом, представляющим угрозу, отслеживаемым как Storm-0558 в прошлом году.
Это также следует за решением компании опубликовать данные о первопричинах недостатков безопасности с использованием отраслевого стандарта Common Weakness Enumeration (CWE). Однако стоит отметить, что изменения вступают в силу только с рекомендаций, опубликованных с марта 2024 года.
"Добавление оценок CWE в рекомендации Microsoft по безопасности помогает точно определить общую первопричину уязвимости", - сказал Адам Барнетт, ведущий инженер-программист Rapid7, в заявлении, опубликованном в Hacker News.
"Программа CWE недавно обновила свое руководство по сопоставлению CVE с основной причиной CWE. Анализ тенденций CWE может помочь разработчикам сократить количество ошибок в будущем за счет улучшения рабочих процессов жизненного цикла разработки программного обеспечения (SDLC) и тестирования, а также помочь защитникам понять, куда направить усилия по углубленной защите и усилению развертывания для максимальной отдачи от инвестиций".
В соответствующей разработке фирма по кибербезопасности Varonis подробно описала два метода, которые злоумышленники могут использовать, чтобы обойти журналы аудита и избежать запуска событий загрузки при извлечении файлов из SharePoint.
Первый подход использует преимущества функции SharePoint "Открыть в приложении" для доступа к файлам и их загрузки, тогда как второй использует пользовательский агент Microsoft SkyDriveSync для загрузки файлов или даже целых сайтов, ошибочно классифицируя такие события как синхронизацию файлов вместо загрузки.
Microsoft, которая была проинформирована о проблемах в ноябре 2023 года, до сих пор не выпустила исправления, хотя они были добавлены в их программу невыполненной работы с исправлениями. Тем временем организациям рекомендуется внимательно отслеживать свои журналы аудита на предмет подозрительных событий доступа, особенно тех, которые связаны с большими объемами загрузок файлов за короткий период.
"Эти методы могут обойти политики обнаружения и принудительного применения традиционных инструментов, таких как брокеры безопасности облачного доступа, предотвращение потери данных и SIEMs, скрывая загрузки как менее подозрительные события доступа и синхронизации", - сказал Эрик Сарага.
Исправления программного обеспечения от других поставщиков
Помимо Microsoft, за последние несколько недель обновления для системы безопасности были выпущены и другими поставщиками для исправления нескольких уязвимостей, в том числе —- Adobe
- AMD
- Android
- Apache XML Security для C ++
- Aruba Networks
- Atos
- Bosch
- Cisco
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Для улучшения
- GitLab
- Google Chrome
- Google Cloud
- Google Pixel
- Hikvision
- Hitachi Energy
- HP
- HP Enterprise
- HTTP/2
- IBM
- Ivanti
- Дженкинс
- Lenovo
- LG WebOS
- Дистрибутивы Linux Debian, Oracle Linux, Red Hat, SUSE и Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR и Thunderbird
- NETGEAR
- NVIDIA
- Qualcomm
- Rockwell Automation
- Rust
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- VMware
- WordPress, и
- Zoom
