Microsoft je objavio sigurnosna ažuriranja za mjesec april 2024. kako bi otklonio rekordnih 149 nedostataka, od kojih su dvije bile pod aktivnom eksploatacijom.
Od 149 nedostataka, tri su ocijenjene kao kritične, 142 su ocijenjene kao važne, tri su ocijenjene umjereno, a jedna je ocijenjena kao niska po ozbiljnosti. Ažuriranje je sprovedeno pored 21 ranjivosti koje je kompanija riješila u svom Chromium-baziranom Edge pretraživaču nakon objavljivanja ispravki zakrpe iz marta 2024.
Dva nedostatka koja su bila pod aktivnom eksploatacijom su u nastavku –
- CVE-2024-26234 (CVSS rezultat: 6,7) – Ranjivost proxy drajvera u lažiranju
- CVE-2024-29988 (CVSS rezultat: 8,8) – Ranjivost zaobilaženja sigurnosne funkcije SmartScreen Prompt
Iako Microsoftov vlastiti savjet ne pruža nikakve informacije o CVE-2024-26234, firma za kibernetičku sigurnost Sophos rekla je da je u decembru 2023. otkrila zlonamjerni izvršni fajl (“Catalog.exe” ili “Catalog Authentication Client Service”) koji je potpisao važeći izdavač Microsoft Windows hardverske kompatibilnosti ( WHCP ) sertifikat.
Authenticode analiza binarne datoteke otkrila je izvornog izdavača Hainan YouHu Technology Co. Ltd, koji je također izdavač drugog alata pod nazivom LaiXi Android Screen Mirroring.
Potonji je opisan kao “marketinški softver… [koji] može povezati stotine mobilnih telefona i kontrolisati ih u serijama, te automatizovati zadatke kao što su grupno praćenje, lajkanje i komentiranje.”
U okviru navodne usluge provjere autentičnosti prisutna je komponenta koja se zove 3proxy koja je dizajnirana da nadgleda i presreće mrežni promet na zaraženom sistemu, efektivno djelujući kao backdoor.
“Nemamo dokaza koji bi sugerisali da su programeri LaiXi-a namjerno ugradili zlonamjernu datoteku u svoj proizvod, ili da je haker izvršio napad na lanac opskrbe kako bi ga ubacio u proces kompilacije/gradnje LaiXi aplikacije”, rekao je istraživač Sophosa Andreas Klopsch.
Kompanija za sajber sigurnost je takođe rekla da je otkrila više drugih varijanti backdoor-a u okruženju sve do 5. januara 2023, što ukazuje da je kampanja u toku barem od tada. Microsoft je od tada dodao relevantne datoteke na svoju listu opoziva.
Drugi sigurnosni propust koji je navodno bio pod aktivnim napadom je CVE-2024-29988, koji – poput CVE-2024-21412 i CVE-2023-36025 – omogućava napadačima da zaobiđu zaštitu Microsoft Defender Smartscreen-a prilikom otvaranja posebno kreirane datoteke.
“Da bi iskoristio ovu sigurnosnu funkciju zaobilaženja ranjivosti, napadač bi trebao uvjeriti korisnika da pokrene zlonamjerne datoteke koristeći aplikaciju pokretača koja zahtijeva da se korisnički interfejs ne prikazuje”, rekao je Microsoft.
“U scenariju napada putem e-pošte ili instant poruka, napadač bi mogao poslati ciljanom korisniku posebno kreiranu datoteku koja je dizajnirana da iskoristi ranjivost udaljenog izvršavanja koda.”
Inicijativa Zero Day otkrila je da postoje dokazi da se nedostatak iskorištava u okruženju, iako ga je Microsoft označio procjenom “Vjerovatno je eksploatacija”.
Još jedna važna ranjivost je CVE-2024-29990 (CVSS rezultat: 9,0), nedostatak privilegija koji utiče na poverljivi kontejner usluge Microsoft Azure Kubernetes koji bi neautorizovani napadači mogli da iskoriste za krađu akreditiva.
“Napadač može pristupiti nepouzdanom AKS Kubernetes čvoru i AKS povjerljivom kontejneru kako bi preuzeo povjerljive goste i kontejnere izvan mrežnog steka na koji bi mogao biti vezan”, rekao je Redmond.
Sve u svemu, izdanje je značajno po adresiranju čak 68 udaljenih izvršavanja koda, 31 eskalacije privilegija, 26 zaobilaženja sigurnosnih funkcija i šest grešaka za uskraćivanje usluge (DoS). Zanimljivo je da se 24 od 26 sigurnosnih zaobilaznih grešaka odnose na Secure Boot.
“Iako nijedna od ovih ranjivosti Secure Boot-a koje smo riješili ovog mjeseca nije iskorištavana u okruženju, one služe kao podsjetnik da nedostaci u Secure Boot-u i dalje postoje i da bismo mogli vidjeti više zlonamjernih aktivnosti povezanih sa Secure Boot-om u budućnosti”, Satnam Narang, viši kadar istraživački inženjer u Tenableu, rekao je u saopštenju.
Objavljivanje dolazi u trenutku kada se Microsoft suočio s kritikama zbog svojih sigurnosnih praksi, s nedavnim izvještajem američkog odbora za pregled sajber sigurnosti (CSRB) koji proziva kompaniju da ne čini dovoljno da spriječi kampanju kibernetičke špijunaže koju je orkestrirao kineski haker praćen kao Storm-0558 prošle godine.
Takođe prati odluku kompanije da objavi podatke o osnovnom uzroku sigurnosnih propusta koristeći industrijski standard Common Weakness Enumeration (CWE). Međutim, vrijedi napomenuti da su promjene na snazi tek počevši od savjeta objavljenih od marta 2024.
“Dodavanje CWE procjena Microsoftovim sigurnosnim savjetima pomaže u otkrivanju generičkog korijenskog uzroka ranjivosti”, rekao je Adam Barnett, vodeći softverski inženjer u Rapid7, u izjavi podijeljenoj za The Hacker News.
“Program CWE je nedavno ažurirao svoje smjernice za mapiranje CVE-a na CWE korijenski uzrok . Analiza CWE trendova može pomoći programerima da smanje buduće pojave kroz poboljšane tokove rada i testiranja životnog ciklusa razvoja softvera (SDLC), kao i da pomogne braniocima da shvate gdje da usmjere napore za dubinsku odbranu i jačanje napora za najbolji povrat ulaganja.”
U povezanom razvoju, firma za sajber sigurnost Varonis je detaljno opisala dvije metode koje napadači mogu usvojiti kako bi zaobišli evidenciju revizije i izbjegli pokretanje događaja preuzimanja dok eksfiltriraju datoteke iz SharePoint-a.
Prvi pristup koristi prednost SharePoint-ove funkcije „Otvori u aplikaciji“ za pristup i preuzimanje datoteka, dok drugi koristi User-Agent za Microsoft SkyDriveSync za preuzimanje datoteka ili čak čitavih web lokacija, dok pogrešno kategorizuje takve događaje kao sinhronizacije datoteka umjesto preuzimanja.
Microsoft, koji je bio svjestan problema u novembru 2023. godine, tek treba da objavi ispravku, iako su dodani u njihov program zaostalih zakrpa. U međuvremenu, organizacijama se preporučuje da pažljivo prate svoje evidencije revizije za sumnjive događaje pristupa, posebno one koji uključuju velike količine preuzimanja datoteka u kratkom periodu.
“Ove tehnike mogu zaobići politike otkrivanja i primjene tradicionalnih alata, kao što su sigurnosni brokeri za pristup oblaku, prevencija gubitka podataka i SIEM, skrivajući preuzimanja kao manje sumnjive događaje pristupa i sinhronizacije”, rekao je Eric Saraga .
Softverske zakrpe drugih proizvođača
Pored Microsofta, drugi proizvođači su u proteklih nekoliko sedmica objavili sigurnosna ažuriranja kako bi se ispravilo nekoliko ranjivosti, uključujući:
- Adobe
- AMD
- Android
- Aruba Networks
- Atos
- Bosch
- Cisco
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google chrome
- Google Cloud
- Google Pixel
- Hikvision
- Hitachi Energy
- HP
- HP Enterprise
- HTTP/2
- IBM
- Jenkins
- Lenovo
- LG webOS
- Linux distribucije Debian , Oracle Linux , Red Hat , SUSE i Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR i Thunderbird
- NETGEAR
- NVIDIA
- Qualcomm
- Rockwell Automation
- Rust
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- Trend Micro
- VMware
- WordPress
- Zoom
Izvor:The Hacker News