Производители средств безопасности призывают организации немедленно исправить активно эксплуатируемые ошибки в Microsoft Outlook и функции Mark of the Web.
ИТ-отделы должны в приоритетном порядке устранить две уязвимости нулевого дня: одну в механизме аутентификации Microsoft Outlook, а другую - в обходе Mark of the Web, заявили сегодня эксперты по безопасности. Эти две уязвимости являются частью кэша из 74 ошибок безопасности, которые Microsoft раскрыла в своем мартовском обновлении безопасности Patch Tuesday.
В своем блоге исследователи из Automox рекомендовали организациям устранить обе уязвимости в течение 24 часов, поскольку злоумышленники активно используют их в кибератаках.
Кроме того, несколько критических уязвимостей в мартовском обновлении позволяют удаленное выполнение кода (RCE), что также делает их приоритетными для исправления.
Поставщики несколько по-разному оценивают общее количество новых критических уязвимостей в мартовском обновлении Microsoft - вероятно, из-за различий в том, что они включают в подсчет. Trend Micro's Zero-Day Initiative (ZDI), например, определила шесть уязвимостей в мартовском обновлении Microsoft как критические, а Tenable и Action1 насчитали девять.
Уязвимость эскалации привилегий.
Одна из уязвимостей - критическая уязвимость повышения привилегий в Microsoft Outlook под номером CVE-2023-23397, которая позволяет злоумышленнику получить доступ к хэшу аутентификации Net-NTLMv2 с вызовом-ответом жертвы, а затем выдать себя за пользователя.
Опасность ошибки заключается в том, что злоумышленник может запустить ее, просто отправив специально созданное письмо, которое Outlook получит и обработает еще до того, как пользователь просмотрит его в панели предварительного просмотра.
«Это происходит потому, что уязвимость срабатывает на стороне почтового сервера, то есть эксплуатация произойдет до того, как жертва просмотрит вредоносное письмо» - сказал Сатнам Наранг, старший штатный инженер-исследователь компании Tenable в комментарии по электронной почте. Злоумышленник может использовать хэш Net-NLMv2 жертвы для проведения атаки, которая использует механизм ответа на вызов NTLM и позволяет противнику аутентифицироваться как пользователь.
Это делает ошибку скорее уязвимостью обхода аутентификации, чем проблемой повышения привилегий, добавил исследователь ZDI Дастин Чайлдс (Dustin Childs) в своем блоге, где обобщены наиболее важные баги в мартовском обновлении Microsoft Patch Tuesday. Отключение опции панели предварительного просмотра не снизит угрозу, поскольку ошибка срабатывает еще до этого, написал он.
Microsoft приписывает обнаружение ошибки исследователям из украинской команды по реагированию на компьютерные чрезвычайные ситуации (CERT), а также одному из своих собственных исследователей.
Организациям, которые не могут немедленно исправить CVE-2023-23397, следует рассмотреть возможность внедрения разработанного Microsoft средства исправления этого дефекта, которое предотвращает использование NTLM в качестве механизма аутентификации, заявили в Automox.
Активно эксплуатируемый недостаток обхода функции безопасности
Microsoft идентифицировала вторую ошибку нулевого дня как CVE-2023-24880, проблему обхода функции безопасности Windows SmartScreen, которую злоумышленник может использовать для обхода обозначения Mark of the Web, которое Microsoft использует для идентификации файлов, которые пользователь может загрузить из Интернета.
Эта функция предназначена для предупреждения пользователей о потенциально опасном содержимом. CVE-2023-24880 затрагивает все настольные системы под управлением Windows 10 и выше, а также системы под управлением Windows Server 2016, 2019 и 2022.
Крис Геттл, вице-президент по продуктам безопасности компании Ivanti, предупредил администраторов, чтобы они не успокаивались на чувстве ложной безопасности из-за относительно низкого рейтинга бага Microsoft.
«Оценка CVSSv3.1 составляет всего 5,4 балла, что может остаться незамеченным многими организациями» - сказал Геттл в своем заявлении. Сам по себе CVE, возможно, не представляет особой угрозы, «но он, скорее всего, использовался в цепочке атак с другими эксплойтами» - предупредил он.
Другие ошибки безопасности с высоким приоритетом исправления.
Одним из дефектов RCE, на который следует обратить особое внимание, является CVE-2023-23415, который существует в протоколе Internet Control Message Protocol (ICMP), используемом сетевыми устройствами для диагностики проблем связи.
«Злоумышленник может удаленно использовать эту уязвимость с помощью низкоуровневой ошибки протокола, содержащей фрагментированный IP-пакет в заголовке, который отправляется на целевую машину» - говорится в сообщении Microsoft. Уязвимость затрагивает множество продуктов Microsoft, включая Windows 10, Windows 11, Windows Server 2008, 2012, 2016, 2019 и 2022.
ZDI, Automox и Action1 также отметили уязвимость RCE с почти максимальной степенью серьезности 9,8 по шкале CVSS в стеке протокола HTTP как еще одну проблему, которую организации, возможно, захотят сделать приоритетной.
Уязвимость (CVE-2023-23392) позволяет неавторизованному злоумышленнику отправить специально созданный пакет на сервер, использующий стек протокола HTTP, что приводит к RCE. «Уязвимость затрагивает Windows Server 2022 и Windows 11 и имеет вектор атаки низкой сложности, не требующий привилегий или взаимодействия с пользователем, - предупреждает Action1. В связи с этим Microsoft оценила уязвимость как уязвимость, которую атакующие могут использовать с большей вероятностью, чем другие дефекты».
Automox также рекомендовал организациям устранить CVE-2023-23416, ошибку RCE в протоколе Windows Cryptographic Services, в течение 72 часов. Это связано, в частности, с тем, что она затрагивает все версии настольных компьютеров Windows 10 и выше, а также все редакции серверов Windows, начиная с Server 2012.
Помимо исправлений для новых уязвимостей, в рамках мартовского цикла исправлений Microsoft также выпустила обновления для четырех старых уязвимостей - все из 2022 года. Обновление расширяет число программ и приложений Microsoft, затронутых уязвимостями, и обеспечивает их исправление, заявили в Ivanti. Поставщик систем безопасности идентифицировал четыре обновленных патча как CVE-2022-43552, CVE-2022-23257, CVE-2022-23825, и CVE-2022-23816.
Источник: https://www.darkreading.com
