Η microsoft objavio je sigurnosna ažuriranja za mjesec travanj 2024. kako bi popravio rekord 149 nedostataka , od kojih su dva aktivno iskorištavana u divljini.
Od 149 nedostataka, tri su ocijenjena kao kritična, 142 su ocijenjena kao važna, tri su ocijenjena kao umjerena, a jedan je ocijenjen kao niska ozbiljnost. Ažuriranje ne dolazi u obzir 21 ranjivosti s kojim se tvrtka suočava u svom pregledniku Edge temeljenom na Chromiumu nakon izdavanja popravci zakrpa za ožujak utorak 2024 .
Dva nedostatka koja su aktivno iskorištena su sljedeća -
- CVE-2024-26234 (CVSS rezultat: 6,7) – Ranjivost lažiranja proxy upravljačkog programa
- CVE-2024-29988 (CVSS rezultat: 8,8) – Sigurnosne značajke SmartScreen Prompt zaobilaze ranjivost
Iako Microsoftovo savjetovanje ne pruža informacije o CVE-2024-26234, cyber tvrtkasigurnostiSophos je rekao da je u prosincu 2023. otkrio zlonamjernu izvršnu datoteku ("Catalog.exe" ili "Catalog Authentication Client Service") koja je potpisan od važećeg izdavača hardverske kompatibilnosti Microsoft Windows ( WHCP ) potvrda.
Analiza autentičnog koda binarnog zapisa otkrio je izvornog izdavača zahtjeva tvrtki Hainan YouHu Technology Co. Ltd, koji je također izdavač drugog alata pod nazivom LaiXi Android Screen Mirroring.
Potonji je opisan kao “marketinški softver … [koji] može povezati stotine mobilnih telefona i kontrolirati ih u serijama te automatizirati zadatke kao što su praćenje grupe, lajkovanje i komentiranje”.
Unutar pretpostavljene usluge provjere autentičnosti nalazi se komponenta tzv 3proxy koji je dizajniran za nadzor i presretanje mrežnog prometa na zaraženom sustavu, učinkovito djelujući kao stražnja vrata.
"Nemamo dokaza koji bi upućivali na to da su LaiXi programeri namjerno integrirali zlonamjernu datoteku u svoj proizvod ili da je akter prijetnje izveo napad na lanac opskrbe kako bi je ubacio u LaiXi aplikaciju za izradu/izradu procesa," izjavio je Sophosov istraživač Andreas Klopsch. .
Tvrtka za kibernetičku sigurnost također je rekla da je otkrila nekoliko drugih varijanti backdoora u divljini do 5. siječnja 2023., što ukazuje da kampanja traje barem od tada. Microsoft je od tada dodao relevantne datoteke na svoj popis opoziva.
"Da bi iskoristio ovu ranjivost zaobilaženja sigurnosne značajke, napadač bi morao uvjeriti korisnika da pokrene zlonamjerne datoteke pomoću pokretača koji zahtijeva da se korisničko sučelje ne prikaže", rekao je Microsoft.
"U scenariju napada e-poštom ili instant porukom, napadač bi ciljanom korisniku mogao poslati posebno izrađenu datoteku dizajniranu da iskoristi ranjivost daljinskog izvršavanja koda."
Inicijativa nultog dana otkriveno da postoje dokazi o iskorištavanju greške u prirodi, iako ju je Microsoft označio ocjenom "Najvjerojatnije iskorištavanje".
Drugo važno pitanje je ranjivost CVE-2024-29990 (CVSS rezultat: 9.0), nedostatak povećanja privilegija koji utječe na Microsoft Azure Kubernetes Service Container Confidential koji bi mogli iskoristiti neautentificirani napadači za krađu vjerodajnica.
"Napadač može pristupiti nepouzdanom AKS Kubernetes čvoru i AKS povjerljivom spremniku kako bi preuzeo povjerljive goste i spremnike izvan mrežnog stoga na koji su možda vezani", rekao je Redmond.
Sve u svemu, izdanje je značajno za rješavanje do 68 daljinskih izvršavanja koda, 31 eskalacije privilegija, 26 zaobilaženja sigurnosnih značajki i šest grešaka uskraćivanja usluge (DoS). Zanimljivo je da su 24 od 26 pogrešaka sigurnosnog zaobilaženja povezane sa Secure Boot.
“Iako nijedna od ovih ranjivosti Sigurna Boot obrađeni ovog mjeseca nisu iskorištavani u divljini, služe kao podsjetnik da nedostaci u sigurnom pokretanju još uvijek postoje i mogli bismo vidjeti više zlonamjernih aktivnosti povezanih sa sigurnim pokretanjem u budućnosti,” rekao je Satnam Narang, viši istraživački inženjer u Tenableu, rekao je u Izjava.
Otkriće dolazi kao i Microsoft suočiti se s kritikom o svojim sigurnosnim praksama, s nedavnim izvješćem Odbora za reviziju Cyber sigurnost(CSRB) prozivajući tvrtku da ne čini dovoljno da spriječi kampanju kibernetičke špijunaže koju je orkestrirao kineski akter prijetnje praćen kao Storm. -0558 prošle godine.
Također slijedi odluka tvrtke da objaviti podatke o uzroku za sigurnosne nedostatke koristeći industrijski standard Common Weakness Enumeration (CWE). Međutim, vrijedi napomenuti da se promjene primjenjuju samo počevši od upozorenja objavljenih od ožujka 2024.
"Dodavanje CWE procjena Microsoftovim sigurnosnim savjetima pomaže u identificiranju ukupnog uzroka ranjivosti", rekao je Adam Barnett, vodeći softverski inženjer u Rapid7, u izjavi podijeljenoj za The Hacker News.
“Program CWE nedavno je ažurirao svoje smjernice o preslikavanje CVE-a na glavni uzrok CWE-a . Analiza CWE trendova može pomoći programerima da smanje buduće pojave kroz poboljšane tijekove rada i testiranje životnog ciklusa razvoja softvera (SDLC), kao i pomoć braniteljima da razumiju kamo usmjeriti napore u dubinskoj obrani i jačanje razvoja za bolji povrat ulaganja."
U povezanom razvoju, tvrtka za kibernetičku sigurnost Varonis otkrila je dvije metode koje bi napadači mogli usvojiti kako bi zaobišli revizijske zapisnike i izbjegli pokretanje događaja preuzimanja prilikom izvoza datoteka iz SharePointa.
Prvi pristup iskorištava SharePointovu značajku "Otvori u aplikaciji" za pristup i preuzimanje datoteka, dok drugi koristi korisnički agent za Microsoft SkyDriveSync za preuzimanje datoteka ili čak cijelih web-mjesta, pogrešno klasificirajući takve događaje kao sinkronizacije datoteka umjesto preuzimanja.
"Ove tehnike mogu zaobići pravila otkrivanja i provedbe tradicionalnih alata, kao što su sigurnosni brokeri pristupa oblaku, sprječavanje gubitka podataka i SIEM-ovi, prikrivanjem preuzimanja kao manje sumnjivih događaja pristupa i sinkronizacije", On je rekao Eric Saraga.
Popravci softvera treće strane
Osim Microsofta, sigurnosna ažuriranja su posljednjih tjedana objavili i drugi proizvođači kako bi popravili nekoliko ranjivosti, uključujući:
- nepečena opeka
- AMD
- Android
- Apache XML Security za C++
- Aruba mreže
- Atos
- Bosch
- Cisco
- D-Link
- Šumovita dolina
- Drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Chrome
- Google Cloud
- Google Pixel
- Hikvision
- Hitachi energija
- HP
- HPE Enterprise
- HTTP / 2
- IBM
- Ivanti
- Jenkins
- Lenovo
- LG webOS
- Linux distribucije Debian, Oracle Linux, Red Hat, SUSEi Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR i Thunderbird
- NETGEAR
- NVIDIA
- Qualcomm
- Rockwell Automation
- Hrđa
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- VMware
- WordPress
- Zum
