Η Microsoft випустила оновлення безпеки за квітень 2024 року, щоб виправити рекорд 149 дефектів , два з яких активно експлуатувалися в дикій природі.
Зі 149 дефектів три мають оцінку «Критичні», 142 — «Важливі», три — «Помірні», а один — «Низький рівень серйозності». Оновлення окремо 21 вразливість з якою зіткнулася компанія у своєму браузері Edge на основі Chromium після випуску виправлення виправлень у березневий вівторок 2024 р .
Два недоліки, які активно використовувалися, це:
- CVE-2024-26234 (Оцінка CVSS: 6,7) – Уразливість підробки драйвера проксі
- CVE-2024-29988 (Оцінка CVSS: 8,8) – Функції безпеки SmartScreen Prompt обходять вразливість
Хоча консультація Microsoft не надає інформації про CVE-2024-26234, кіберкомпаніябезпекиКомпанія Sophos заявила, що в грудні 2023 року виявила шкідливий виконуваний файл («Catalog.exe» або «Catalog Authentication Client Service»), який підписаний від дійсного видавця апаратної сумісності Microsoft Windows ( WHCP ) сертифікат.
Аналіз Authenticode двійкового файлу розкрив оригінального видавця, який подав запит, Hainan YouHu Technology Co. Ltd, яка також є видавцем іншого інструменту під назвою LaiXi Android Screen Mirroring.
Останнє описується як «маркетингове програмне забезпечення... [яке] може підключати сотні мобільних телефонів і керувати ними в пакетах, а також автоматизувати такі завдання, як стеження за групами, лайки та коментарі».
У передбачуваній службі автентифікації є компонент під назвою 3проксі який призначений для моніторингу та перехоплення мережевого трафіку в зараженій системі, фактично діючи як бекдор.
«У нас немає доказів, які б свідчили про те, що розробники LaiXi навмисно інтегрували шкідливий файл у свій продукт або що загрозливий суб’єкт здійснив атаку на ланцюжок поставок, щоб впровадити його в процес створення/складання програми LaiXi», він заявив Дослідник Sophos Андреас Клопш. .
Компанія з кібербезпеки також заявила, що виявила кілька інших варіантів бекдору в дикій природі до 5 січня 2023 року, що свідчить про те, що кампанія триває принаймні з того часу. Після цього Microsoft додала відповідні файли до свого списку відкликання.
«Щоб скористатися цією уразливістю обходу функції безпеки, зловмиснику доведеться переконати користувача запустити шкідливі файли за допомогою програми запуску, яка запитує, щоб інтерфейс користувача не відображався», — заявили в Microsoft.
«У сценарії атаки електронною поштою або миттєвими повідомленнями зловмисник може надіслати цільовому користувачеві спеціально створений файл, призначений для використання вразливості віддаленого виконання коду».
Ініціатива «Нульовий день». виявлено що є докази використання недоліку в дикій природі, хоча Microsoft позначила його рейтингом «Найвірогідніше використання».
Інша важлива проблема – вразливість CVE-2024-29990 (Оцінка CVSS: 9.0), недолік підвищення привілеїв, що впливає на конфіденційність контейнера служби Microsoft Azure Kubernetes, яким можуть скористатися неавтентифіковані зловмисники для викрадення облікових даних.
«Зловмисник може отримати доступ до ненадійного вузла AKS Kubernetes і конфіденційного контейнера AKS, щоб отримати доступ до конфіденційних гостей і контейнерів за межами мережевого стека, до якого вони можуть бути прив’язані», — сказав Редмонд.
Загалом випуск примітний усуненням до 68 віддаленого виконання коду, 31 підвищення привілеїв, 26 обходів функцій безпеки та шести помилок відмови в обслуговуванні (DoS). Цікаво, що 24 з 26 помилок обходу безпеки пов’язані з безпечним завантаженням.
«Поки немає жодної з цих вразливостей безпечне завантаження які розглядалися цього місяця, не використовувалися в дикій природі, вони служать нагадуванням про те, що недоліки в Secure Boot все ще існують, і ми можемо побачити більше шкідливих дій, пов’язаних із Secure Boot, у майбутньому», – сказав Сатнам Наранг, старший інженер-дослідник Tenable. заява.
Відкриття приходить, як і Microsoft зіткнутися з критикою щодо його практики безпеки, з нещодавнім звітом Ревізійної ради Кібербезпека(CSRB), закликаючи компанію за те, що вона недостатньо робить для запобігання кампанії кібершпигунства, організованій китайським загрозливим актором, якого відслідковують як Storm. -0558 минулого року.
Це також випливає з рішення компанії опублікувати дані першопричини для виявлення недоліків безпеки за допомогою промислового стандарту Common Weakness Enumeration (CWE). Однак варто зазначити, що зміни застосовуються лише з рекомендацій, опублікованих у березні 2024 року.
«Додавання оцінок CWE до консультацій Microsoft з безпеки допомагає визначити загальну причину вразливості», — сказав Адам Барнетт, провідний інженер програмного забезпечення Rapid7, у заяві, надісланій The Hacker News.
«Програма CWE нещодавно оновила свої рекомендації щодо зіставлення CVE з першопричиною CWE . Аналіз тенденцій CWE може допомогти розробникам зменшити майбутні випадки за рахунок вдосконалення робочих процесів і тестування життєвого циклу розробки програмного забезпечення (SDLC), а також допомогти захисникам зрозуміти, куди спрямувати зусилля щодо поглибленого захисту та зміцнення розробки для кращого повернення інвестицій».
У відповідній розробці фірма з кібербезпеки Varonis розкрила два методи, які зловмисники можуть застосувати, щоб обійти журнали аудиту та уникнути ініціювання подій завантаження під час експорту файлів із SharePoint.
Перший підхід використовує переваги функції SharePoint «Відкрити в програмі» для доступу та завантаження файлів, а другий використовує агент користувача для Microsoft SkyDriveSync для завантаження файлів або навіть цілих сайтів, помилково класифікуючи такі події як синхронізацію файлів замість завантажень.
«Ці методи можуть обійти політику виявлення та застосування традиційних інструментів, таких як брокери безпеки доступу до хмари, запобігання втраті даних і SIEM, маскуючи завантаження як менш підозрілі події доступу та синхронізації», він сказав Ерік Сарага.
Виправлення програмного забезпечення сторонніх розробників
Окрім Microsoft, останніми тижнями інші постачальники також випустили оновлення системи безпеки для усунення кількох вразливостей, зокрема:
- саман
- AMD
- Android
- Apache XML Security для C++
- Мережі Аруба
- Atos
- Bosch
- Cisco
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Фортра
- GitLab
- Google Chrome
- Google Cloud
- Google Pixel
- Hikvision
- Hitachi Energy
- HP
- HPE Enterprise
- HTTP / 2
- IBM
- Іванті
- Дженкінс
- Lenovo
- LG webOS
- Дистрибутиви Linux Debian, Oracle Linux, Red Hat, SUSE та Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR і Thunderbird
- NETGEAR
- NVIDIA
- компанія Qualcomm
- Rockwell Automation
- Іржа
- Samsung
- SAP
- Schneider Electric
- Сіменс
- Сплин
- Synology
- VMware
- WordPress
- Zoom