Η Microsoft выпустил обновления безопасности за апрель 2024 года, чтобы исправить рекорд 149 дефектов , два из которых активно эксплуатируются в дикой природе.
Из 149 дефектов три имеют рейтинг «Критический», 142 — «Важный», три — «Умеренный» и один — «Низкий уровень серьезности». Об обновлении не может быть и речи 21 уязвимость с чем столкнулась компания в своем браузере Edge на базе Chromium после выпуска исправления патча от мартовского вторника 2024 г. .
Два недостатка, которые активно эксплуатировались, заключаются в следующем:
- CVE-2024-26234 (оценка CVSS: 6,7) – уязвимость подмены драйвера прокси-сервера.
- CVE-2024-29988 (оценка CVSS: 8,8) – функции безопасности SmartScreen Prompt обходят уязвимость.
Хотя в рекомендациях Microsoft не содержится информация о CVE-2024-26234, киберкомпаниябезопасностьКомпания Sophos заявила, что в декабре 2023 года обнаружила вредоносный исполняемый файл («Catalog.exe» или «Клиентская служба аутентификации каталога»), который подписано от действующего издателя, совместимого с оборудованием Microsoft Windows ( WHCP ) сертификат.
Анализ Аутентикода двоичного файла, первоначальным издателем запроса стала компания Hainan YouHu Technology Co. Ltd, которая также является издателем еще одного инструмента под названием LaiXi Android Screen Mirroring.
Последний описывается как «маркетинговое программное обеспечение… [которое] может подключать сотни мобильных телефонов и управлять ими в пакетном режиме, а также автоматизировать такие задачи, как подписка на группы, лайки и комментарии».
В предполагаемой службе аутентификации есть компонент под названием 3прокси который предназначен для мониторинга и перехвата сетевого трафика в зараженной системе и эффективно действует как бэкдор.
«У нас нет доказательств того, что разработчики LaiXi намеренно интегрировали вредоносный файл в свой продукт или что злоумышленник провел атаку на цепочку поставок, чтобы внедрить его в процесс сборки/сборки приложения LaiXi», — заявил он. он сказал Исследователь компании Sophos Андреас Клопш. .
Компания по кибербезопасности также заявила, что к 5 января 2023 года обнаружила еще несколько вариантов бэкдора, что указывает на то, что кампания ведется, по крайней мере, с тех пор. С тех пор Microsoft добавила соответствующие файлы в свой список отзыва.
«Чтобы воспользоваться этой уязвимостью обхода функции безопасности, злоумышленнику придется убедить пользователя запустить вредоносные файлы с помощью программы запуска, которая не требует отображения пользовательского интерфейса», — заявили в Microsoft.
«В сценарии атаки по электронной почте или системе обмена мгновенными сообщениями злоумышленник может отправить целевому пользователю специально созданный файл, предназначенный для использования уязвимости удаленного выполнения кода».
Инициатива нулевого дня он показал что существуют доказательства использования этой уязвимости, хотя Microsoft пометила ее с рейтингом «Наиболее вероятное использование».
Еще одна важная проблема – уязвимость. CVE-2024-29990 (оценка CVSS: 9.0), уязвимость в повышении привилегий, затрагивающая конфиденциальную информацию сервисного контейнера Microsoft Azure Kubernetes, которая может быть использована злоумышленниками, не прошедшими проверку подлинности, для кражи учетных данных.
«Злоумышленник может получить доступ к недоверенному узлу AKS Kubernetes и конфиденциальному контейнеру AKS, чтобы захватить конфиденциальные гости и контейнеры за пределами сетевого стека, к которому они могут быть привязаны», — сказал Редмонд.
В целом, выпуск примечателен устранением до 68 ошибок удаленного выполнения кода, 31 ошибки повышения привилегий, 26 ошибок обхода функций безопасности и шести ошибок типа «отказ в обслуживании» (DoS). Интересно, что 24 из 26 ошибок обхода безопасности связаны с Secure Boot.
«Хотя ни одна из этих уязвимостей БЕЗОПАСНАЯ ЗАГРУЗКА рассмотренные в этом месяце, не использовались в реальных условиях, они служат напоминанием о том, что недостатки в Secure Boot все еще существуют, и мы можем увидеть больше вредоносной активности, связанной с Secure Boot, в будущем», — сказал Сатнам Наранг, старший инженер-исследователь компании Tenable. заявление.
Открытие пришло, как и Microsoft столкнуться с критикой о своей практике обеспечения безопасности, с недавним отчетом Наблюдательного совета кибербезопасность(CSRB) обвинил компанию в том, что она не предпринимает достаточных мер для предотвращения кампании кибершпионажа, организованной китайским злоумышленником, отслеживаемым как Storm. -0558 в прошлом году.
Это также следует из решения компании публиковать данные о первопричинах для выявления недостатков безопасности с использованием отраслевого стандарта Common Weakness Enumeration (CWE). Однако стоит отметить, что изменения применяются только начиная с рекомендаций, опубликованных с марта 2024 года.
«Добавление оценок CWE в рекомендации Microsoft по безопасности помогает определить общую причину уязвимости», — сказал Адам Барнетт, ведущий инженер-программист Rapid7, в заявлении, опубликованном The Hacker News.
«Программа CWE недавно обновила свои рекомендации по сопоставление CVE с основной причиной CWE . Анализ тенденций CWE может помочь разработчикам сократить количество подобных случаев в будущем за счет улучшения рабочих процессов и тестирования жизненного цикла разработки программного обеспечения (SDLC), а также помочь защитникам понять, куда направить усилия по глубокоэшелонированной защите и усилению разработки для лучшей окупаемости инвестиций».
В рамках соответствующей разработки компания по кибербезопасности Varonis представила два метода, которые злоумышленники могут использовать для обхода журналов аудита и предотвращения запуска событий загрузки при экспорте файлов из SharePoint.
Первый подход использует преимущества функции SharePoint «Открыть в приложении» для доступа и загрузки файлов, а второй использует пользовательский агент Microsoft SkyDriveSync для загрузки файлов или даже целых сайтов, ошибочно классифицируя такие события как синхронизацию файлов, а не как загрузку.
«Эти методы могут обойти политики обнаружения и применения традиционных инструментов, таких как брокеры безопасности доступа к облаку, предотвращение потери данных и SIEM, маскируя загрузки как менее подозрительные события доступа и синхронизации». он сказал Эрик Сарага.
Исправления стороннего программного обеспечения
Помимо Microsoft, в последние недели обновления безопасности были выпущены и другими поставщиками, исправляющими ряд уязвимостей, в том числе:
- саман
- AMD
- Android
- Безопасность Apache XML для C++
- Аруба Сети
- Atos
- Bosch
- Cisco
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Фортра
- GitLab
- Google Chrome
- Google Cloud
- Google пикселей
- Hikvision
- Хитачи Энерджи
- HP
- HP для предприятий
- HTTP / 2
- IBM
- Иванти
- Дженкинс
- Lenovo
- LG вебОС
- Распределения Linux Debian, Oracle Linux, Red Hat, SUSEи Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR и Thunderbird
- NETGEAR
- NVIDIA
- Компания Qualcomm
- Rockwell Automation
- Ржавчина
- Samsung
- SAP
- Schneider Electric
- Сименс
- Splunk
- Synology
- VMware
- WordPress
- Zoom
