Teacher
Professional
- Messages
- 2,670
- Reaction score
- 780
- Points
- 113
Microsoft выпустила исправления для устранения 73 недостатков безопасности, охватывающих линейку ее программного обеспечения, в рамках своих обновлений Patch Tuesday за февраль 2024 года, включая два нулевых дня, которые активно использовались.
Из 73 уязвимостей 5 оценены как критические, 65 - как Важные и три - как средней степени тяжести. Это в дополнение к 24 недостаткам, которые были исправлены в браузере Edge на базе Chromium с момента выпуска исправлений во вторник 24 января.
Ниже перечислены две ошибки , которые на момент выпуска находились под активной атакой -
Успешное использование уязвимости может позволить злоумышленнику обойти защиту SmartScreen и запустить произвольный код. Однако, чтобы атака сработала, исполнитель угрозы должен отправить пользователю вредоносный файл и убедить пользователя открыть его.
CVE-2024-21412 аналогичным образом позволяет злоумышленнику, не прошедшему проверку подлинности, обойти отображаемые проверки безопасности, отправив специально созданный файл целевому пользователю.
"Однако у злоумышленника не будет возможности заставить пользователя просматривать контент, контролируемый злоумышленником". Редмонд отметил. "Вместо этого злоумышленнику придется убедить их предпринять действия, нажав на ссылку на файл".
CVE-2024-21351 - вторая ошибка обхода, обнаруженная в SmartScreen после CVE-2023-36025 (оценка CVSS: 8,8), которая была устранена техническим гигантом в ноябре 2023 года. С тех пор уязвимость использовалась несколькими хакерскими группами для распространения DarkGate, Phemedrone Stealer и Mispadu.
Trend Micro, в которой подробно описана кампания атак, предпринятая Water Hydra (она же DarkCasino), нацеленная на трейдеров финансового рынка с помощью сложной цепочки атак нулевого дня с использованием CVE-2024-21412, описала CVE-2024-21412 как обход CVE-2023-36025, тем самым позволяя субъектам угрозы уклоняться от проверок SmartScreen.
Water Hydra, впервые обнаруженная в 2021 году, имеет послужной список запуска атак на банки, криптовалютные платформы, торговые сервисы, сайты азартных игр и казино для доставки троянца под названием DarkMe с использованием эксплойтов нулевого дня, включая уязвимость WinRAR, обнаруженную в августе 2023 года (CVE-2023-38831, оценка CVSS: 7,8).
В конце прошлого года китайская компания по кибербезопасности NSFOCUS присвоила "экономически мотивированной" хакерской группе статус совершенно новой расширенной постоянной угрозы (APT).
"В январе 2024 года Water Hydra обновила свою цепочку заражений, используя CVE-2024-21412 для запуска вредоносного установочного файла Microsoft (.MSI), оптимизируя процесс заражения DarkMe", - сказали в Trend Micro.
С тех пор обе уязвимости были добавлены в каталог известных эксплуатируемых уязвимостей (KEV) Агентством США по кибербезопасности и инфраструктурной безопасности (CISA), призывая федеральные агентства применить последние обновления к 5 марта 2024 года.
Microsoft также исправила пять критических недостатков -
"Использование этой уязвимости может привести к раскрытию хэша Net-New Technology LAN Manager (NTLM) версии 2 целевого пользователя, который может быть ретранслирован обратно на уязвимый сервер Exchange в ходе атаки с ретрансляцией NTLM или передачей хэша, что позволит злоумышленнику аутентифицироваться как целевой пользователь".
Обновление для системы безопасности дополнительно устраняет 15 ошибок удаленного выполнения кода в Microsoft WDAC OLE DB provider для SQL Server, которыми злоумышленник мог воспользоваться, заставив аутентифицированного пользователя попытаться подключиться к вредоносному SQL server через OLEDB.
Завершающий этап исправления - это исправление для CVE-2023-50387 (оценка CVSS: 7.5), 24-летнего конструктивного недостатка в спецификации DNSSEC, которым можно злоупотреблять, чтобы истощать ресурсы процессора и останавливать распознаватели DNS, что приводит к отказу в обслуживании (DoS).
Уязвимость получила кодовое название KeyTrap от Национального исследовательского центра прикладной кибербезопасности (ATHENE) в Дармштадте.
"Они продемонстрировали, что всего с помощью одного DNS-пакета атака может истощить центральный процессор и остановить все широко используемые реализации DNS и общедоступных DNS-провайдеров, таких как Google Public DNS и Cloudflare", - сказали исследователи. "Фактически, популярная реализация DNS BIND 9 может быть приостановлена на целых 16 часов".
Из 73 уязвимостей 5 оценены как критические, 65 - как Важные и три - как средней степени тяжести. Это в дополнение к 24 недостаткам, которые были исправлены в браузере Edge на базе Chromium с момента выпуска исправлений во вторник 24 января.
Ниже перечислены две ошибки , которые на момент выпуска находились под активной атакой -
- CVE-2024-21351 (оценка CVSS: 7,6) - Уязвимость обхода функции безопасности Windows SmartScreen
- CVE-2024-21412 (оценка CVSS: 8.1) - Уязвимость обхода функции безопасности Internet Shortcut Files
Успешное использование уязвимости может позволить злоумышленнику обойти защиту SmartScreen и запустить произвольный код. Однако, чтобы атака сработала, исполнитель угрозы должен отправить пользователю вредоносный файл и убедить пользователя открыть его.
CVE-2024-21412 аналогичным образом позволяет злоумышленнику, не прошедшему проверку подлинности, обойти отображаемые проверки безопасности, отправив специально созданный файл целевому пользователю.
"Однако у злоумышленника не будет возможности заставить пользователя просматривать контент, контролируемый злоумышленником". Редмонд отметил. "Вместо этого злоумышленнику придется убедить их предпринять действия, нажав на ссылку на файл".
CVE-2024-21351 - вторая ошибка обхода, обнаруженная в SmartScreen после CVE-2023-36025 (оценка CVSS: 8,8), которая была устранена техническим гигантом в ноябре 2023 года. С тех пор уязвимость использовалась несколькими хакерскими группами для распространения DarkGate, Phemedrone Stealer и Mispadu.
Trend Micro, в которой подробно описана кампания атак, предпринятая Water Hydra (она же DarkCasino), нацеленная на трейдеров финансового рынка с помощью сложной цепочки атак нулевого дня с использованием CVE-2024-21412, описала CVE-2024-21412 как обход CVE-2023-36025, тем самым позволяя субъектам угрозы уклоняться от проверок SmartScreen.
Water Hydra, впервые обнаруженная в 2021 году, имеет послужной список запуска атак на банки, криптовалютные платформы, торговые сервисы, сайты азартных игр и казино для доставки троянца под названием DarkMe с использованием эксплойтов нулевого дня, включая уязвимость WinRAR, обнаруженную в августе 2023 года (CVE-2023-38831, оценка CVSS: 7,8).
В конце прошлого года китайская компания по кибербезопасности NSFOCUS присвоила "экономически мотивированной" хакерской группе статус совершенно новой расширенной постоянной угрозы (APT).
"В январе 2024 года Water Hydra обновила свою цепочку заражений, используя CVE-2024-21412 для запуска вредоносного установочного файла Microsoft (.MSI), оптимизируя процесс заражения DarkMe", - сказали в Trend Micro.
С тех пор обе уязвимости были добавлены в каталог известных эксплуатируемых уязвимостей (KEV) Агентством США по кибербезопасности и инфраструктурной безопасности (CISA), призывая федеральные агентства применить последние обновления к 5 марта 2024 года.
Microsoft также исправила пять критических недостатков -
- CVE-2024-20684 (оценка CVSS: 6.5) - Уязвимость Windows Hyper-V для отказа в обслуживании
- CVE-2024-21357 (оценка CVSS: 7.5) - Уязвимость для удаленного выполнения кода Windows Pragmatic General Multicast (PGM)
- CVE-2024-21380 (оценка CVSS: 8.0) - Уязвимость Microsoft Dynamics Business Central / NAV для раскрытия информации
- CVE-2024-21410 (оценка CVSS: 9,8) - Уязвимость с повышением привилегий Microsoft Exchange Server
- CVE-2024-21413 (оценка CVSS: 9,8) - Уязвимость удаленного выполнения кода в Microsoft Outlook
"Использование этой уязвимости может привести к раскрытию хэша Net-New Technology LAN Manager (NTLM) версии 2 целевого пользователя, который может быть ретранслирован обратно на уязвимый сервер Exchange в ходе атаки с ретрансляцией NTLM или передачей хэша, что позволит злоумышленнику аутентифицироваться как целевой пользователь".
Обновление для системы безопасности дополнительно устраняет 15 ошибок удаленного выполнения кода в Microsoft WDAC OLE DB provider для SQL Server, которыми злоумышленник мог воспользоваться, заставив аутентифицированного пользователя попытаться подключиться к вредоносному SQL server через OLEDB.
Завершающий этап исправления - это исправление для CVE-2023-50387 (оценка CVSS: 7.5), 24-летнего конструктивного недостатка в спецификации DNSSEC, которым можно злоупотреблять, чтобы истощать ресурсы процессора и останавливать распознаватели DNS, что приводит к отказу в обслуживании (DoS).
Уязвимость получила кодовое название KeyTrap от Национального исследовательского центра прикладной кибербезопасности (ATHENE) в Дармштадте.
"Они продемонстрировали, что всего с помощью одного DNS-пакета атака может истощить центральный процессор и остановить все широко используемые реализации DNS и общедоступных DNS-провайдеров, таких как Google Public DNS и Cloudflare", - сказали исследователи. "Фактически, популярная реализация DNS BIND 9 может быть приостановлена на целых 16 часов".
Исправления программного обеспечения от других поставщиков
Помимо Microsoft, с начала месяца обновления для системы безопасности были выпущены и другими поставщиками для исправления нескольких уязвимостей, в том числе —- Adobe
- AMD
- Android
- Arm
- ASUS
- Atos
- Canon
- Cisco
- Dell
- Drupal
- ExpressVPN
- F5
- Fortinet
- GitLab
- Google Chrome
- Google Cloud
- Hitachi Energy
- HP
- IBM
- Intel
- ISC BIND 9
- Ivanti
- JetBrains TeamCity
- Juniper Networks
- Lenovo
- Дистрибутивы Linux Debian, Oracle Linux, Red Hat, SUSE и Ubuntu
- Mastodon
- MediaTek
- Mitsubishi Electric
- Mozilla Firefox, Firefox ESR и Thunderbird
- NVIDIA
- PowerDNS
- QNAP (подробнее о CVE-2023-47218 и CVE-2023-50358)
- Qualcomm
- Rockwell Automation
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- SonicWall
- Spring Framework
- Synology
- Veeam
- Veritas
- VMware
- WordPress
- Zoom и
- Zyxel
