Η microsoft lëshoi përditësime sigurie për muajin prill 2024 për të rregulluar një rekord 149 defekte , dy prej të cilave janë shfrytëzuar në mënyrë aktive në natyrë.
Nga 149 defekte, tre janë vlerësuar si Kritike, 142 janë vlerësuar të Rëndësishme, tre janë vlerësuar me Mesatarisht dhe një është vlerësuar me Ashpërsi të ulët. Përditësimi është jashtë diskutimit 21 dobësi përballur nga kompania në shfletuesin e saj Edge të bazuar në Chromium pas lëshimit të Rregullime të arnimit të marsit të martë 2024 .
Dy mangësitë që janë shfrytëzuar në mënyrë aktive janë këto:
- CVE-2024-26234 (Rezultati CVSS: 6,7) – Dobësia e mashtrimit të drejtuesit të përfaqësuesit
- CVE-2024-29988 (Rezultati CVSS: 8,8) – Karakteristikat e sigurisë SmartScreen Prompt anashkalojnë cenueshmërinë
Ndërsa këshillimi i Microsoft nuk jep informacion në lidhje me CVE-2024-26234, kompania kibernetikesigurinëSophos tha se zbuloi në dhjetor 2023 një ekzekutues me qëllim të keq ("Catalog.exe" ose "Shërbimi i klientit të vërtetimit të katalogut") që është nënshkruar nga një botues i vlefshëm i pajtueshmërisë së harduerit Microsoft Windows ( WHCP ) certifikatë.
Analiza e Authenticode i binarit zbuloi botuesin origjinal kërkues në Hainan YouHu Technology Co. Ltd, e cila është edhe botuese e një mjeti tjetër të quajtur LaiXi Android Screen Mirroring.
Ky i fundit përshkruhet si "një softuer marketingu ... [që] mund të lidhë qindra telefona celularë dhe t'i kontrollojë ato në grupe dhe të automatizojë detyra të tilla si ndjekja në grup, pëlqimi dhe komentimi".
Brenda shërbimit të supozuar të vërtetimit është një komponent i quajtur 3 përfaqësues i cili është krijuar për të monitoruar dhe përgjuar trafikun e rrjetit në një sistem të infektuar, duke vepruar në mënyrë efektive si një derë e pasme.
"Ne nuk kemi prova që të sugjerojnë se zhvilluesit e LaiXi e kanë integruar qëllimisht skedarin keqdashës në produktin e tyre, ose se një aktor kërcënimi ka kryer një sulm të zinxhirit të furnizimit për ta injektuar atë në procesin e ndërtimit/ndërtimit të aplikacionit LaiXi." deklaroi Studiuesi i Sophos, Andreas Klopsch. .
Kompania e sigurisë kibernetike tha gjithashtu se zbuloi disa variante të tjera të derës së pasme në natyrë deri më 5 janar 2023, duke treguar se fushata ka nisur të paktën që atëherë. Microsoft që atëherë ka shtuar skedarët përkatës në listën e tij të tërheqjes.
"Për të shfrytëzuar këtë dobësi të anashkalimit të veçorisë së sigurisë, një sulmues duhet të bindë një përdorues që të lëshojë skedarë me qëllim të keq duke përdorur një lëshues që kërkon që të mos shfaqet asnjë ndërfaqe përdoruesi," tha Microsoft.
"Në një skenar sulmi me email ose mesazhe të çastit, një sulmues mund t'i dërgojë përdoruesit në shënjestër një skedar të krijuar posaçërisht të krijuar për të shfrytëzuar cenueshmërinë e ekzekutimit të kodit në distancë."
Iniciativa e Ditës Zero zbuluar se ka prova të shfrytëzimit të defektit në natyrë, megjithëse Microsoft e ka shënuar atë me një vlerësim "Shfrytëzimi më i mundshëm".
Një çështje tjetër e rëndësishme është cenueshmëria CVE-2024-29990 (Rezultati CVSS: 9.0), një rritje e defektit të privilegjit që prek Konfidencialin e Kontejnerit të Shërbimit Microsoft Azure Kubernetes që mund të shfrytëzohet nga sulmues të paautentikuar për të vjedhur kredencialet.
"Një sulmues mund të hyjë në nyjen e pabesueshme AKS Kubernetes dhe AKS Confidential Container për të marrë përsipër të ftuarit dhe kontejnerët konfidencialë përtej grupit të rrjetit ku mund të jenë të lidhur," tha Redmond.
Në përgjithësi, lëshimi është i dukshëm për adresimin e deri në 68 ekzekutimeve të kodit në distancë, 31 përshkallëzimit të privilegjeve, 26 anashkalimeve të veçorive të sigurisë dhe gjashtë gabimeve të mohimit të shërbimit (DoS). Është interesante se 24 nga 26 gabimet e anashkalimit të sigurisë lidhen me Secure Boot.
“Ndërsa asnjë nga këto dobësi Boot Sigurt të adresuara këtë muaj nuk u shfrytëzuan në të egra, ato shërbejnë si një kujtesë se mangësitë në Secure Boot ende ekzistojnë dhe ne mund të shohim më shumë aktivitete keqdashëse të lidhura me Secure Boot në të ardhmen, "tha Satnam Narang, inxhinier i lartë i stafit të kërkimit në Tenable. nje deklarate.
Zbulimi vjen siç ka bërë Microsoft përballen me kritika mbi praktikat e saj të sigurisë, me një raport të fundit nga Bordi i Rishikimit Siguria kibernetike(CSRB) duke thirrur kompaninë se nuk ka bërë mjaftueshëm për të parandaluar një fushatë spiunazhi kibernetik të orkestruar nga një aktor kinez i kërcënimit i gjurmuar si Storm. -0558 vitin e kaluar.
Ai gjithashtu pason vendimin e kompanisë për të publikoni të dhënat e shkakut rrënjësor për të metat e sigurisë duke përdorur standardin e industrisë Common Weakness Enumeration (CWE). Megjithatë, vlen të përmendet se ndryshimet zbatohen vetëm duke filluar me këshillimet e publikuara nga marsi 2024.
"Shtimi i vlerësimeve të CWE në këshillën e sigurisë së Microsoft-it ndihmon në identifikimin e shkakut të përgjithshëm rrënjësor të një cenueshmërie," tha Adam Barnett, inxhinier kryesor i softuerit në Rapid7, në një deklaratë të ndarë me The Hacker News.
“Programi CWE përditësoi së fundmi udhëzimet e tij për hartëzimi i CVE-ve në një shkak rrënjësor të CWE . Analizimi i tendencave të CWE mund t'i ndihmojë zhvilluesit të reduktojnë dukuritë e ardhshme përmes flukseve dhe testimeve të përmirësuara të Ciklit të Jetës së Zhvillimit të Softuerit (SDLC), si dhe duke ndihmuar mbrojtësit të kuptojnë se ku të drejtojnë përpjekjet e thella të mbrojtjes dhe zhvillimin e forcimit për kthim më të mirë të investimit".
Në një zhvillim të lidhur, firma e sigurisë kibernetike Varonis ekspozoi dy metoda që sulmuesit mund të përdornin për të anashkaluar regjistrat e auditimit dhe për të shmangur nxitjen e ngjarjeve të shkarkimit kur eksportonin skedarë nga SharePoint.
Qasja e parë përfiton nga veçoria "Open in App" e SharePoint për të aksesuar dhe shkarkuar skedarë, ndërsa e dyta përdor agjentin e përdoruesit për Microsoft SkyDriveSync për të shkarkuar skedarë apo edhe sajte të tëra, duke i keqklasifikuar ngjarje të tilla si sinkronizimi i skedarëve në vend të shkarkimeve.
"Këto teknika mund të anashkalojnë politikat e zbulimit dhe të zbatimit të mjeteve tradicionale, të tilla si ndërmjetësit e sigurisë së aksesit në renë kompjuterike, parandalimi i humbjes së të dhënave dhe SIEM, duke maskuar shkarkimet si aksese dhe ngjarje sinkronizimi më pak të dyshimta." tha ai Eric Saraga.
Rregullime të softuerit të palëve të treta
Përveç Microsoft, përditësimet e sigurisë janë lëshuar gjithashtu nga shitës të tjerë javët e fundit për të rregulluar disa dobësi, duke përfshirë:
- Qerpiç
- AMD
- android
- Siguria e Apache XML për C++
- Rrjetet e Arubës
- Atos
- Bosch
- Cisco
- D-Link
- Luginë
- Drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Chrome
- Google Cloud
- google Pixel
- Hikvision
- Hitachi Energy
- HP
- Ndërmarrja HP
- HTTP / 2
- IBM
- Ivanta
- Jenkins
- Lenovo
- LG webOS
- Shpërndarjet Linux Debian, orakull linux, Red Hat, SUSEdhe Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR dhe Thunderbird
- Netgear
- NVIDIA
- Qualcomm
- Automatizimi Rockwell
- Ndryshk
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- VMware
- WordPress
- Zoom
