Η microsoft 2024 áprilisára biztonsági frissítéseket adott ki a rekord javítása érdekében 149 hiba , amelyek közül kettőt aktívan kizsákmányoltak a vadonban.
A 149 hibából három kritikus, 142 fontos, három közepes és egy alacsony súlyosságú. A frissítés szóba sem jöhet 21 sebezhetőség amivel a cég szembesült Chromium-alapú Edge böngészőjében a megjelenése után 2024. márciusi keddi javítások .
Az aktívan kihasznált két hiányosság a következő:
- CVE-2024 26234- (CVSS-pontszám: 6,7) – Proxy-illesztőprogram-hamisítási sebezhetőség
- CVE-2024 29988- (CVSS pontszám: 8,8) – A SmartScreen Prompt biztonsági funkciói megkerülik a sebezhetőséget
Míg a Microsoft tanácsadója nem ad tájékoztatást a CVE-2024-26234, a kibercégBiztonságA Sophos azt mondta, hogy 2023 decemberében fedezett fel egy rosszindulatú végrehajtható fájlt („Catalog.exe” vagy „Catalog Authentication Client Service”), amely aláírva érvényes Microsoft Windows hardverkompatibilitási kiadótól ( WHCP ) tanúsítvány.
Az Authenticode elemzés A bináris fájl felfedte az eredeti kérelmező kiadót a Hainan YouHu Technology Co. számára. Ltd., amely egy másik eszköz, a LaiXi Android Screen Mirroring kiadója is.
Ez utóbbi leírása szerint „egy marketingszoftver… [amely] több száz mobiltelefont képes összekapcsolni és kötegelt vezérelni, és automatizálni a feladatokat, például a csoportos követést, kedvelést és kommentálást”.
A feltételezett hitelesítési szolgáltatáson belül található egy ún 3proxy amely egy fertőzött rendszer hálózati forgalmának figyelésére és lehallgatására szolgál, hatékonyan háttérajtóként működik.
"Nincs bizonyítékunk arra, hogy a LaiXi fejlesztői szándékosan integrálták volna a rosszindulatú fájlt a termékükbe, vagy hogy egy fenyegetés szereplője ellátási lánc támadást hajtott végre, hogy beillessze azt a LaiXi alkalmazásépítési folyamatába." állította Andreas Klopsch, a Sophos kutatója. .
A kiberbiztonsági cég azt is közölte, hogy 5. január 2023-ig felfedezték a hátsó ajtó számos más változatát a vadonban, ami azt jelzi, hogy a kampány legalább azóta is tart. A Microsoft azóta felvette a megfelelő fájlokat visszahívási listájára.
"A biztonsági rés megkerüléséhez a támadónak meg kell győznie a felhasználót, hogy rosszindulatú fájlokat indítson el egy olyan indító segítségével, amely kéri, hogy ne jelenjenek meg felhasználói felület" - mondta a Microsoft.
"E-mailes vagy azonnali üzenetküldő támadás esetén a támadó egy speciálisan kialakított fájlt küldhet a célzott felhasználónak, amely a távoli kódfuttatást okozó biztonsági rést kihasználja."
A nulladik napi kezdeményezés kiderült hogy bizonyíték van a hiba vadon való kihasználására, bár a Microsoft „Legvalószínűbb kihasználás” minősítéssel jelölte meg.
Egy másik fontos kérdés a sebezhetőség CVE-2024-29990 (CVSS-pontszám: 9.0), a Microsoft Azure Kubernetes Service Container Confidential-t érintő megnövekedett jogosultsági hibája, amelyet a nem hitelesített támadók felhasználhatnak hitelesítő adatok ellopására.
"A támadó hozzáférhet a nem megbízható AKS Kubernetes csomóponthoz és az AKS Confidential Containerhez, hogy átvegye a bizalmas vendégeket és konténereket azon a hálózati veremen kívül, amelyhez kötve van" - mondta Redmond.
Összességében a kiadás figyelemre méltó, hogy 68 távoli kódvégrehajtást, 31 jogosultságkiterjesztést, 26 biztonsági funkció megkerülését és hat szolgáltatásmegtagadási (DoS) hibát kezel. Érdekes módon a 24 biztonsági megkerülési hibából 26 a biztonságos rendszerindításhoz kapcsolódik.
– Miközben ezeknek a sebezhetőségeknek egyike sem biztonságos rendszerindítás Az ebben a hónapban megválaszolandó anyagokat nem használták ki a vadonban, emlékeztetnek arra, hogy a Secure Boot hibái még mindig léteznek, és a jövőben még több, a Secure Boothoz kapcsolódó rosszindulatú tevékenységet láthatunk majd” – mondta Satnam Narang, a Tenable vezető kutatómérnöke. nyilatkozat.
A kinyilatkoztatás úgy érkezik, ahogy a Microsoft is kritikával szembesülni biztonsági gyakorlatáról, a felülvizsgálati tanács legutóbbi jelentésével Kiberbiztonság(CSRB) felszólítja a céget, hogy nem tesz eleget a Vihar néven nyomon követett kínai fenyegetőző által szervezett kiberkémkampány megakadályozásáért. -0558 tavaly.
Ebből következik a cég döntése is a kiváltó okokra vonatkozó adatok közzététele biztonsági hibákra a Common Weakness Enumeration (CWE) iparági szabvány használatával. Érdemes azonban megjegyezni, hogy a változások csak a 2024 márciusától közzétett figyelmeztetésektől kezdődnek.
"A CWE-értékeléseknek a Microsoft biztonsági tanácsaihoz való hozzáadása segít azonosítani a sebezhetőség általános kiváltó okát" - mondta Adam Barnett, a Rapid7 vezető szoftvermérnöke a The Hacker Newsnak adott nyilatkozatában.
„A CWE program nemrég frissítette az útmutatóját a CVE-k leképezése egy CWE kiváltó okra . A CWE-trendek elemzése segíthet a fejlesztőknek csökkenteni a jövőbeni előfordulásokat a szoftverfejlesztési életciklus (SDLC) továbbfejlesztett munkafolyamatai és tesztelése révén, valamint segíthet a védelmezőknek megérteni, hová kell irányítani a mélyreható védelmi erőfeszítéseket, és megerősíti a fejlesztést a befektetés jobb megtérülése érdekében.
Egy kapcsolódó fejlesztés során a Varonis kiberbiztonsági cég két módszert tárt fel a támadók számára, amelyek segítségével megkerülhetik az auditnaplókat, és elkerülhetik a letöltési események elindítását a fájlok SharePointból való exportálásakor.
Az első megközelítés a SharePoint „Megnyitás az alkalmazásban” funkcióját használja ki a fájlok eléréséhez és letöltéséhez, míg a második a Microsoft SkyDriveSync felhasználói ügynökét használja fájlok vagy akár teljes webhelyek letöltéséhez, és az ilyen eseményeket tévesen fájlszinkronizálásnak minősíti a letöltések helyett.
"Ezek a technikák megkerülhetik a hagyományos eszközök, például a felhőalapú hozzáférési biztonsági brókerek, az adatvesztés-megelőzés és a SIEM-ek észlelési és betartatási politikáit azáltal, hogy a letöltéseket kevésbé gyanús hozzáférési és szinkronizálási eseményeknek álcázzák." ő mondta Eric Saraga.
Harmadik féltől származó szoftverjavítások
A Microsofton kívül más gyártók is kiadtak biztonsági frissítéseket az elmúlt hetekben számos sebezhetőség javítására, többek között:
- vályogtégla
- AMD
- Android
- Apache XML Security for C++
- Aruba Networks
- Atos
- Bosch
- Cisco
- D-Link
- DELL
- Drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Chrome
- A Google Cloud
- Google Pixel
- Hikvision
- Hitachi Energy
- HP
- HPE Enterprise
- HTTP / 2
- IBM
- Ivanta
- Jenkins
- Lenovo
- LG webOS
- Linux disztribúciók Debian, oracle linux, Red Hat, SUSEés Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR és Thunderbird
- NETGEAR
- NVIDIA
- Qualcomm
- Rockwell Automation
- Rozsda
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- VMware
- WordPress
- Zoomolás
