Η Microsoft het sekuriteitsopdaterings vir April 2024 vrygestel om 'n rekord reg te stel 149 gebreke , waarvan twee aktief in die natuur ontgin is.
Van die 149 defekte word drie as Kritiek gegradeer, 142 word as Belangrik gegradeer, drie word as Matig gegradeer en een is as Lae Erns gegradeer. Die opdatering is nie ter sprake nie 21 kwesbaarhede wat die maatskappy in sy Chromium-gebaseerde Edge-blaaier in die gesig gestaar het ná die vrystelling van van Maart Dinsdag 2024 regstellings .
Die twee tekortkominge wat aktief uitgebuit is, is die volgende –
- CVE-2024-26234 (CVSS-telling: 6,7) – Gevolmagtigde bestuurder spoofing kwesbaarheid
- CVE-2024-29988 (CVSS-telling: 8,8) – SmartScreen Prompt-sekuriteitskenmerke omseil kwesbaarheid
Terwyl Microsoft se advies nie inligting verskaf oor die CVE-2024-26234, die kubermaatskappysekuriteitSophos het gesê hy het in Desember 2023 'n kwaadwillige uitvoerbare lêer (“Catalog.exe” of “Catalog Authentication Client Service”) ontdek wat is onderteken van 'n geldige Microsoft Windows hardeware verenigbaarheid uitgewer ( WHCP ) sertifikaat.
Die Authenticode-analise van die binêre het die oorspronklike versoekende uitgewer aan Hainan YouHu Technology Co. Ltd, wat ook die uitgewer is van 'n ander instrument genaamd LaiXi Android Screen Mirroring.
Laasgenoemde word beskryf as "'n bemarkingsagteware ... [wat] honderde selfone kan koppel en hulle in groepe kan beheer en take outomatiseer soos groepvolg, hou van en kommentaar lewer".
Binne die veronderstelde verifikasie diens is 'n komponent genoem 3 proxy wat ontwerp is om netwerkverkeer op 'n besmette stelsel te monitor en te onderskep, wat effektief as 'n agterdeur optree.
"Ons het geen bewyse wat daarop dui dat die LaiXi-ontwikkelaars die kwaadwillige lêer doelbewus in hul produk geïntegreer het, of dat 'n bedreigingsakteur 'n voorsieningskettingaanval uitgevoer het om dit in die LaiXi-toepassing bou-/bouproses in te spuit nie." het hy verklaar Sophos-navorser Andreas Klopsch. .
Die kuberveiligheidsmaatskappy het ook gesê dat dit teen 5 Januarie 2023 verskeie ander variante van die agterdeur in die natuur ontdek het, wat aandui dat die veldtog ten minste sedertdien aan die gang is. Microsoft het sedertdien die relevante lêers by sy herroeplys gevoeg.
"Om hierdie sekuriteitskenmerk om die kwesbaarheid te ontgin, sal 'n aanvaller 'n gebruiker moet oortuig om kwaadwillige lêers te begin deur 'n lanseerder te gebruik wat versoek dat geen gebruikerskoppelvlak vertoon word nie," het Microsoft gesê.
"In 'n e-pos- of kitsboodskap-aanvalscenario kan 'n aanvaller die geteikende gebruiker 'n spesiaal vervaardigde lêer stuur wat ontwerp is om die kwesbaarheid vir die uitvoering van afgeleë kode te ontgin."
Die Zero Day Initiative geopenbaar dat daar bewyse is van die uitbuiting van die fout in die natuur, alhoewel Microsoft dit gemerk het met 'n "Most Likely Exploitation"-gradering.
Nog 'n belangrike kwessie is kwesbaarheid CVE-2024-29990 (CVSS-telling: 9.0), 'n verhoging van voorregtefout wat die Microsoft Azure Kubernetes Service Container Confidential raak wat deur ongeverifieerde aanvallers uitgebuit kan word om geloofsbriewe te steel.
"'n Aanvaller kan toegang tot die onvertroude AKS Kubernetes-nodus en AKS Confidential Container kry om vertroulike gaste en houers oor te neem buite die netwerkstapel waaraan hulle gebind mag wees," het Redmond gesê.
In die algemeen is die vrystelling opvallend vir die aanspreek van tot 68 afgeleë kode-uitvoering, 31 voorregte-eskalasie, 26 sekuriteitskenmerkomleidings en ses ontkenning-van-diens (DoS) foute. Interessant genoeg hou 24 van die 26 sekuriteitsomleidingsfoute verband met Secure Boot.
“Terwyl nie een van hierdie kwesbaarhede Veilige opstart wat hierdie maand aangespreek is nie in die natuur uitgebuit is nie, dit dien as 'n herinnering dat foute in Secure Boot steeds bestaan en ons kan meer Secure Boot-verwante kwaadwillige aktiwiteite in die toekoms sien,” het Satnam Narang, senior personeelnavorsingsingenieur by Tenable gesê in n verklaring.
Die openbaring kom soos Microsoft het kritiek in die gesig staar oor sy sekuriteitspraktyke, met 'n onlangse verslag van die Hersieningsraad Kuberveiligheid(CSRB) roep die maatskappy uit omdat hulle nie genoeg gedoen het om 'n kuberspioenasieveldtog te voorkom wat georkestreer is deur 'n Chinese bedreigingakteur wat as Storm nagespoor word nie. -0558 verlede jaar.
Dit volg ook op die maatskappy se besluit om worteloorsaakdata publiseer vir sekuriteitsfoute deur gebruik te maak van die Common Weakness Enumeration (CWE) industriestandaard. Dit is egter opmerklik dat die veranderinge slegs van toepassing is vanaf advies wat vanaf Maart 2024 gepubliseer is.
"Deur CWE-evaluerings by Microsoft se sekuriteitsadvies te voeg, help dit om die algehele oorsaak van 'n kwesbaarheid te identifiseer," sê Adam Barnett, hoofsagteware-ingenieur by Rapid7, in 'n verklaring wat met The Hacker News gedeel is.
“Die CWE-program het onlangs sy leiding oor kartering van CVE's na 'n CWE hoofoorsaak . Die ontleding van CWE-neigings kan ontwikkelaars help om toekomstige gebeurtenisse te verminder deur verbeterde sagteware-ontwikkelingslewensiklus (SDLC) werkvloeie en toetsing, asook om verdedigers te help verstaan waar om verdediging-in-diepte pogings te rig en ontwikkeling te verhard vir beter opbrengs op belegging.
In 'n verwante ontwikkeling het die kuberveiligheidsfirma Varonis twee metodes ontbloot wat aanvallers kan gebruik om ouditlogboeke te omseil en te verhoed dat aflaaigebeurtenisse veroorsaak word wanneer lêers vanaf SharePoint uitgevoer word.
Die eerste benadering maak gebruik van SharePoint se "Open in App"-kenmerk om toegang tot lêers te verkry en af te laai, terwyl die tweede die gebruikersagent vir Microsoft SkyDriveSync gebruik om lêers of selfs hele werwe af te laai, wat gebeure soos lêersinkroniserings in plaas van aflaaie verkeerd klassifiseer.
"Hierdie tegnieke kan die opsporing en afdwingingsbeleide van tradisionele gereedskap, soos wolktoegang sekuriteitsmakelaars, voorkoming van dataverlies en SIEM's omseil deur aflaaie te vermom as minder verdagte toegang en sinchronisasie gebeure." hy het gesê Eric Saraga.
Derdeparty sagteware regstellings
Benewens Microsoft, is sekuriteitsopdaterings ook die afgelope weke deur ander verskaffers vrygestel om verskeie kwesbaarhede reg te stel, insluitend:
- Adobe
- AMD
- Android
- Apache XML-sekuriteit vir C++
- Aruba netwerke
- Atos
- Bosch
- Cisco
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Chrome
- Google Wolk
- Google Pixel
- Hikvision
- Hitachi Energie
- HP
- HP Onderneming
- HTTP / 2
- IBM
- Ivanta
- Jenkins
- Lenovo
- LG webOS
- Linux verspreidings Debian, oracle linux, Red Hat, SUSE, en Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR en Thunderbird
- NETGEAR
- NVIDIA
- Qualcomm
- Rockwell Automation
- Rust
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- VMware
- WordPress
- Klik op
