Η Microsoft κυκλοφόρησε ενημερώσεις ασφαλείας για τον μήνα Απρίλιο του 2024 για να διορθώσει ένα ρεκόρ 149 ελαττωμάτων , δύο από τα οποία έχουν τεθεί υπό ενεργή εκμετάλλευση στην άγρια φύση.
Από τις 149 ατέλειες, οι τρεις βαθμολογούνται ως Κρίσιμες, οι 142 βαθμολογούνται ως Σημαντικές, οι τρεις βαθμολογούνται ως Μέτριες και το ένα βαθμολογούνται με χαμηλή σοβαρότητα. Η ενημέρωση είναι εκτός από 21 ευπάθειες που αντιμετώπισε η εταιρεία στο πρόγραμμα περιήγησης Edge που βασίζεται στο Chromium μετά την κυκλοφορία των διορθώσεων της ενημέρωσης κώδικα Τρίτης Μαρτίου 2024 .
Οι δύο ελλείψεις που έχουν αποτελέσει αντικείμενο ενεργητικής εκμετάλλευσης είναι οι παρακάτω –
- CVE-2024-26234 (βαθμολογία CVSS: 6,7) – Ευπάθεια πλαστογράφησης προγράμματος οδήγησης μεσολάβησης
- CVE-2024-29988 (βαθμολογία CVSS: 8,8) – Ευπάθεια παράκαμψης λειτουργιών ασφαλείας SmartScreen Prompt
Ενώ η συμβουλευτική της Microsoft δεν παρέχει πληροφορίες σχετικά με το CVE-2024-26234, η εταιρεία κυβερνοασφάλειας Sophos είπε ότι ανακάλυψε τον Δεκέμβριο του 2023 ένα κακόβουλο εκτελέσιμο αρχείο (“Catalog.exe” ή “Catalog Authentication Client Service”) που είναι υπογεγραμμένο από έγκυρο εκδότη συμβατότητας υλικού Microsoft Windows ( WHCP ) πιστοποιητικό.
Η ανάλυση Authenticode του δυαδικού αρχείου αποκάλυψε τον αρχικό αιτούντα εκδότη στην Hainan YouHu Technology Co. Ltd, η οποία είναι επίσης ο εκδότης ενός άλλου εργαλείου που ονομάζεται LaiXi Android Screen Mirroring.
Το τελευταίο περιγράφεται ως “ένα λογισμικό μάρκετινγκ … [που] μπορεί να συνδέσει εκατοντάδες κινητά τηλέφωνα και να τα ελέγχει σε παρτίδες και να αυτοματοποιήσει εργασίες όπως ομαδική παρακολούθηση, επισήμανση “μου αρέσει” και σχολιασμό”.
Εντός της υποτιθέμενης υπηρεσίας ελέγχου ταυτότητας υπάρχει ένα στοιχείο που ονομάζεται 3proxy που έχει σχεδιαστεί για να παρακολουθεί και να παρεμποδίζει την κυκλοφορία δικτύου σε ένα μολυσμένο σύστημα, λειτουργώντας ουσιαστικά ως backdoor.
«Δεν έχουμε στοιχεία που να υποδεικνύουν ότι οι προγραμματιστές του LaiXi ενσωμάτωσαν σκόπιμα το κακόβουλο αρχείο στο προϊόν τους ή ότι ένας παράγοντας απειλής διεξήγαγε επίθεση στην αλυσίδα εφοδιασμού για να το εισαγάγει στη διαδικασία συλλογής/κατασκευής της εφαρμογής LaiXi», δήλωσε ο ερευνητής της Sophos, Andreas Klopsch. .
Η εταιρεία κυβερνοασφάλειας είπε επίσης ότι ανακάλυψε πολλές άλλες παραλλαγές της κερκόπορτας στη φύση μέχρι τις 5 Ιανουαρίου 2023, υποδεικνύοντας ότι η εκστρατεία έχει ξεκινήσει τουλάχιστον από τότε. Έκτοτε, η Microsoft πρόσθεσε τα σχετικά αρχεία στη λίστα ανάκλησής της.
“Για να εκμεταλλευτεί αυτή την ευπάθεια παράκαμψης της δυνατότητας ασφαλείας, ένας εισβολέας θα πρέπει να πείσει έναν χρήστη να εκκινήσει κακόβουλα αρχεία χρησιμοποιώντας μια εφαρμογή εκκίνησης που ζητά να μην εμφανίζεται κανένα περιβάλλον χρήστη”, δήλωσε η Microsoft.
“Σε ένα σενάριο επίθεσης μέσω email ή άμεσων μηνυμάτων, ο εισβολέας θα μπορούσε να στείλει στον στοχευμένο χρήστη ένα ειδικά διαμορφωμένο αρχείο που έχει σχεδιαστεί για να εκμεταλλεύεται την ευπάθεια απομακρυσμένης εκτέλεσης κώδικα.”
Η Πρωτοβουλία Zero Day αποκάλυψε ότι υπάρχουν στοιχεία για την εκμετάλλευση του ελαττώματος στη φύση, αν και η Microsoft το έχει επισημάνει με μια αξιολόγηση “Πιθανότερη εκμετάλλευση”.
Ένα άλλο σημαντικό θέμα ευπάθειας είναι το CVE-2024-29990 (βαθμολογία CVSS: 9.0), μια αύξηση του ελαττώματος προνομίου που επηρεάζει το Εμπιστευτικό κοντέινερ υπηρεσίας Microsoft Azure Kubernetes που θα μπορούσε να εκμεταλλευτεί από μη επιβεβαιωμένους εισβολείς για την κλοπή διαπιστευτηρίων.
“Ένας εισβολέας μπορεί να έχει πρόσβαση στον μη αξιόπιστο κόμβο AKS Kubernetes και στο AKS Confidential Container για να αναλάβει εμπιστευτικούς επισκέπτες και κοντέινερ πέρα από τη στοίβα δικτύου στην οποία μπορεί να είναι δεσμευμένος”, δήλωσε ο Redmond.
Συνολικά, η έκδοση είναι αξιοσημείωτη για την αντιμετώπιση έως και 68 απομακρυσμένης εκτέλεσης κώδικα, 31 κλιμάκωσης προνομίων, 26 παράκαμψης χαρακτηριστικών ασφαλείας και έξι σφαλμάτων άρνησης υπηρεσίας (DoS). Είναι ενδιαφέρον ότι 24 από τα 26 σφάλματα παράκαμψης ασφαλείας σχετίζονται με την Ασφαλή εκκίνηση.
“Ενώ κανένα από αυτά τα τρωτά σημεία του Secure Boot που αντιμετωπίστηκαν αυτόν τον μήνα δεν αξιοποιήθηκε στη φύση, χρησιμεύουν ως υπενθύμιση ότι τα ελαττώματα στην Secure Boot εξακολουθούν να υφίστανται και θα μπορούσαμε να δούμε περισσότερες κακόβουλες δραστηριότητες που σχετίζονται με το Secure Boot στο μέλλον”, δήλωσε ο Satnam Narang, ανώτερο προσωπικό ερευνητής μηχανικός στην Tenable, είπε σε μια δήλωση.
Η αποκάλυψη έρχεται καθώς η Microsoft έχει αντιμετωπίσει επικρίσεις για τις πρακτικές ασφαλείας της, με μια πρόσφατη έκθεση από το Συμβούλιο Αναθεώρησης Κυβερνοασφάλειας των ΗΠΑ (CSRB) που καλεί την εταιρεία ότι δεν έκανε αρκετά για να αποτρέψει μια εκστρατεία κατασκοπείας στον κυβερνοχώρο που ενορχηστρώθηκε από έναν κινέζο παράγοντα απειλών που παρακολουθείται ως Storm. -0558 πέρυσι.
Ακολουθεί επίσης την απόφαση της εταιρείας να δημοσιεύσει δεδομένα βασικής αιτίας για ελαττώματα ασφαλείας χρησιμοποιώντας το βιομηχανικό πρότυπο Common Weakness Enumeration (CWE). Ωστόσο, αξίζει να σημειωθεί ότι οι αλλαγές ισχύουν μόνο ξεκινώντας από τις συμβουλές που δημοσιεύονται από τον Μάρτιο του 2024.
«Η προσθήκη των αξιολογήσεων CWE στις συμβουλές ασφαλείας της Microsoft βοηθά στον εντοπισμό της γενικής βασικής αιτίας μιας ευπάθειας», δήλωσε ο Adam Barnett, επικεφαλής μηχανικός λογισμικού στο Rapid7, σε μια δήλωση που κοινοποιήθηκε στο The Hacker News.
“Το πρόγραμμα CWE ενημέρωσε πρόσφατα την καθοδήγησή του για την αντιστοίχιση των CVE σε μια βασική αιτία CWE . Η ανάλυση των τάσεων CWE μπορεί να βοηθήσει τους προγραμματιστές να μειώσουν τις μελλοντικές εμφανίσεις μέσω βελτιωμένων ροών εργασίας και δοκιμών του Κύκλου Ζωής Ανάπτυξης Λογισμικού (SDLC), καθώς και βοηθώντας τους υπερασπιστές να κατανοήσουν πού να κατευθύνουν προσπάθειες άμυνας σε βάθος και σκληρύνοντας την ανάπτυξη για την καλύτερη απόδοση της επένδυσης».
Σε μια σχετική εξέλιξη, η εταιρεία κυβερνοασφάλειας Varonis εξέθεσε δύο μεθόδους που θα μπορούσαν να υιοθετήσουν οι εισβολείς για να παρακάμψουν τα αρχεία καταγραφής ελέγχου και να αποφύγουν την ενεργοποίηση συμβάντων λήψης κατά την εξαγωγή αρχείων από το SharePoint.
Η πρώτη προσέγγιση εκμεταλλεύεται τη δυνατότητα “Άνοιγμα στην εφαρμογή” του SharePoint για πρόσβαση και λήψη αρχείων, ενώ η δεύτερη χρησιμοποιεί τον παράγοντα χρήστη για το Microsoft SkyDriveSync για λήψη αρχείων ή ακόμα και ολόκληρων τοποθεσιών, ενώ κατηγοριοποιεί εσφαλμένα τέτοια συμβάντα ως συγχρονισμούς αρχείων αντί για λήψεις.
“Αυτές οι τεχνικές μπορούν να παρακάμψουν τις πολιτικές ανίχνευσης και επιβολής παραδοσιακών εργαλείων, όπως μεσίτες ασφάλειας πρόσβασης στο cloud, πρόληψη απώλειας δεδομένων και SIEM, κρύβοντας τις λήψεις ως λιγότερο ύποπτες εκδηλώσεις πρόσβασης και συγχρονισμού”, είπε ο Eric Saraga .
Επιδιορθώσεις λογισμικού από άλλους κατασκευαστές
Εκτός από τη Microsoft, ενημερωμένες εκδόσεις ασφαλείας έχουν επίσης κυκλοφορήσει από άλλους προμηθευτές τις τελευταίες εβδομάδες για την αποκατάσταση αρκετών ευπαθειών, όπως:
- Adobe
- AMD
- Android
- Apache XML Security for C++
- Aruba Networks
- Atos
- Bosch
- Cisco
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Chrome
- Google Cloud
- Google Pixel
- Hikvision
- Hitachi Energy
- HP
- HP Enterprise
- HTTP/2
- IBM
- Ivanti
- Jenkins
- Lenovo
- LG webOS
- Linux distributions Debian, Oracle Linux, Red Hat, SUSE, and Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR, and Thunderbird
- NETGEAR
- NVIDIA
- Qualcomm
- Rockwell Automation
- Rust
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- VMware
- WordPress
- Zoom
