Η מיקרוסופט פרסם עדכוני אבטחה לחודש אפריל 2024 כדי לתקן שיא 149 פגמים , שניים מהם נוצלו באופן פעיל בטבע.
מתוך 149 הליקויים, שלושה מדורגים קריטיים, 142 מדורגים כחשובים, שלושה מדורגים בינוני, ואחד מדורג בדרגת חומרה נמוכה. העדכון לא בא בחשבון 21 נקודות תורפה מול החברה בדפדפן Edge מבוסס Chromium לאחר שחרורו של של מרץ שלישי 2024 תיקוני תיקון .
שני הליקויים שניצלו באופן פעיל הם הבאים -
- CVE-2024-26234 (ציון CVSS: 6,7) - פגיעות זיוף של מנהלי פרוקסי
- CVE-2024-29988 (ציון CVSS: 8,8) - תכונות האבטחה של SmartScreen Prompt עוקפות את הפגיעות
בעוד שהייעוץ של מיקרוסופט אינו מספק מידע על CVE-2024-26234, חברת הסייברבִּטָחוֹןSophos אמרה שהיא גילתה בדצמבר 2023 קובץ הפעלה זדוני ("Catalog.exe" או "Catalog Authentication Client Service"), כלומר חתם מפרסם חוקי של Microsoft Windows תאימות חומרה ( WHCP ) תעודה.
ניתוח האותנטיקוד של הבינארי חשף את המפרסם המבקש המקורי בפני Hainan YouHu Technology Co. Ltd, שהיא גם המוציאה לאור של כלי נוסף בשם LaiXi Android Screen Mirroring.
זו האחרונה מתוארת כ"תוכנה שיווקית ... [היכולה] לחבר מאות טלפונים ניידים ולשלוט בהם באצווה ולהפוך משימות לאוטומטיות כגון מעקב אחר קבוצות, לייקים והערות".
בתוך שירות האימות כביכול נמצא רכיב הנקרא 3 פרוקסי אשר נועד לנטר וליירט תעבורת רשת במערכת נגועה, ולמעשה פועלת כדלת אחורית.
"אין לנו ראיות המצביעות על כך שמפתחי LaiXi שילבו בכוונה את הקובץ הזדוני במוצר שלהם, או ששחקן איום ביצע התקפת שרשרת אספקה כדי להחדיר אותו לתהליך הבנייה/בניית האפליקציה של LaiXi." הוא הצהיר חוקר סופוס אנדראס קלופש. .
חברת אבטחת הסייבר אמרה גם שגילתה כמה גרסאות אחרות של הדלת האחורית בטבע עד ה-5 בינואר 2023, מה שמעיד על כך שהקמפיין פועל מאז לפחות. מיקרוסופט הוסיפה מאז את הקבצים הרלוונטיים לרשימת הריקול שלה.
"כדי לנצל את תכונת האבטחה הזו לעקוף את הפגיעות, תוקף יצטרך לשכנע משתמש להפעיל קבצים זדוניים באמצעות משגר שמבקש שלא יוצג ממשק משתמש", אמרה מיקרוסופט.
"בתרחיש של התקפת אימייל או הודעות מיידיות, תוקף יכול לשלוח למשתמש הממוקד קובץ בעל מבנה מיוחד שנועד לנצל את הפגיעות של ביצוע קוד מרחוק."
יוזמת יום האפס גילה כי יש עדויות לניצול הפגם בטבע, למרות שמיקרוסופט סימנה אותו בדירוג "ניצול סביר ביותר".
נושא חשוב נוסף הוא פגיעות CVE-2024-29990 (ציון CVSS: 9.0), ליקוי גבוה המשפיע על Microsoft Azure Kubernetes Service Container Confidential שיכול להיות מנוצל על ידי תוקפים לא מאומתים כדי לגנוב אישורים.
"תוקף יכול לגשת לצומת AKS Kubernetes הלא מהימן ול-AKS Confidential Container כדי להשתלט על אורחים סודיים ומכולות מעבר לערימת הרשת שהם עשויים להיות קשורים אליה", אמר רדמונד.
בסך הכל, המהדורה בולטת בטיפול בעד 68 ביצועי קוד מרחוק, 31 הסלמה של הרשאות, 26 מעקפים של תכונות אבטחה ושישה באגים של מניעת שירות (DoS). מעניין לציין ש-24 מתוך 26 שגיאות עקיפת האבטחה קשורות לאתחול מאובטח.
"אמנם אף אחת מהחולשות הללו אתחול מאובטח המטופלים החודש לא נוצלו בטבע, הם משמשים כתזכורת לכך שפגמים באתחול מאובטח עדיין קיימים ונוכל לראות עוד פעילות זדונית הקשורה לאתחול מאובטח בעתיד", אמר Satnam Narang, מהנדס מחקר בכיר ב-Tenable ב-Tenable. הצהרה.
הגילוי מגיע כמו של מיקרוסופט להתמודד עם ביקורת על נוהלי האבטחה שלה, עם דוח עדכני של מועצת הביקורת אבטחת סייבר(CSRB) קוראת לחברה על כך שלא עשתה מספיק כדי למנוע מסע ריגול סייבר שתוזמן על ידי שחקן איום סיני שאחריו נמצא סטורם. -0558 בשנה שעברה.
זה גם בעקבות החלטת החברה לעשות לפרסם נתוני שורש עבור פגמי אבטחה באמצעות תקן התעשייה Common Weakness Enumeration (CWE). עם זאת, ראוי לציין שהשינויים חלים רק החל מהייעוץ שפורסמו ממרץ 2024.
"הוספת הערכות CWE לייעוץ האבטחה של מיקרוסופט עוזרת לזהות את גורם השורש הכולל של פגיעות", אמר אדם בארנט, מהנדס תוכנה ראשי ב-Rapid7, בהצהרה ששיתפה עם The Hacker News.
"תוכנית CWE עדכנה לאחרונה את ההנחיות שלה בנושא מיפוי CVEs לגורם שורש CWE . ניתוח מגמות CWE יכול לעזור למפתחים לצמצם התרחשויות עתידיות באמצעות זרימות עבודה ובדיקות משופרות של פיתוח תוכנה (SDLC), כמו גם לעזור למגינים להבין לאן להפנות מאמצי הגנה מעמיקים ולהקשיח פיתוח להחזר טוב יותר על ההשקעה".
בפיתוח קשור, חברת אבטחת הסייבר Varonis חשפה שתי שיטות שתוקפים יכולים לאמץ כדי לעקוף יומני ביקורת ולהימנע מהפעלת אירועי הורדה בעת ייצוא קבצים מ-SharePoint.
הגישה הראשונה מנצלת את התכונה "פתח באפליקציה" של SharePoint כדי לגשת ולהוריד קבצים, בעוד שהשנייה משתמשת בסוכן המשתמש עבור Microsoft SkyDriveSync כדי להוריד קבצים או אפילו אתרים שלמים, תוך סיווג שגוי של אירועים כגון סנכרון קבצים במקום הורדות.
"טכניקות אלו יכולות לעקוף את מדיניות הזיהוי והאכיפה של כלים מסורתיים, כגון מתווכים באבטחת גישה לענן, מניעת אובדן נתונים ו-SIEMs, על ידי הסוואת הורדות כאירועי גישה וסנכרון פחות חשודים." הוא אמר אריק סרגה.
תיקוני תוכנה של צד שלישי
בנוסף למיקרוסופט, עדכוני אבטחה שוחררו בשבועות האחרונים גם על ידי ספקים אחרים כדי לתקן מספר נקודות תורפה, כולל:
- Adobe
- AMD
- אנדרואיד
- Apache XML Security עבור C++
- רשתות ארובה
- Atos
- בוש
- סיסקו
- D-Link
- Dell
- דרופל
- F5
- פורטינט
- פורטרה
- GitLab
- Google Chrome
- Google Cloud
- פיקסל Google
- HIKVISION
- היטאצ'י אנרג'י
- HP
- HPE Enterprise
- HTTP / 2
- יבמ
- איוונטי
- ג'נקינס
- Lenovo
- LG webOS
- הפצות לינוקס דביאן, אורקל לינוקס, רד האט, SUSE, ו אובונטו
- מדיאטק
- Mozilla Firefox, Firefox ESR ו-Thunderbird
- NETGEAR
- NVIDIA
- קוואלקום
- רוקוול אוטומציה
- חלודה
- סמסונג
- SAP
- שניידר אלקטריק
- סימנס
- מתיז
- Synology
- VMware
- וורדפרס
- זום