การอัปเดตความปลอดภัย Patch Tuesday ของ Microsoft ในเดือนกุมภาพันธ์ประกอบด้วยการแก้ไขช่องโหว่ด้านความปลอดภัยแบบ Zero-day สองรายการภายใต้การโจมตีที่ใช้งานอยู่ รวมถึงข้อบกพร่องอื่น ๆ อีก 71 รายการในผลิตภัณฑ์ที่หลากหลาย
โดยรวมแล้ว ช่องโหว่ 66 รายการซึ่ง Microsoft ออกแพตช์ประจำเดือนกุมภาพันธ์ได้รับการจัดอันดับเป็นช่องโหว่ที่สำคัญ XNUMX รายการถือว่าสำคัญ และอีก XNUMX รายการอยู่ในระดับปานกลาง
พื้นที่ การอัปเดตรวมถึงแพตช์ สำหรับ Microsoft Office, Windows, Microsoft Exchange Server, เบราว์เซอร์ Edge ที่ใช้ Chromium ของบริษัท, Azure Active Directory, Microsoft Defender for Endpoint และ Skype สำหรับธุรกิจ Tenable ระบุ CVE 30 รายการจาก 73 รายการ เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) 16 เป็นการเปิดใช้งานการยกระดับสิทธิ์ 10 เกี่ยวข้องกับการปลอมแปลงข้อผิดพลาด; เก้าเป็นการเปิดใช้งานการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย; ห้าเป็นข้อบกพร่องในการเปิดเผยข้อมูล; และอีกสามประเด็นคือปัญหาการบายพาสความปลอดภัย
น้ำดื่ม Hydra ใช้ประโยชน์จาก Zero-Days โดยกำหนดเป้าหมายไปที่ผู้ค้าทางการเงิน
ผู้คุกคามที่มีชื่อว่า Water Hydra (หรือที่รู้จักในชื่อ Dark Casino) กำลังใช้ประโยชน์จากช่องโหว่แบบ Zero-day หนึ่งในนั้น — คุณสมบัติความปลอดภัยของ Internet Shortcut Files สามารถข้ามช่องโหว่ได้ ติดตามในฐานะ CVE-2024-21412 (CVSS 8.1) — ในแคมเปญที่เป็นอันตรายซึ่งกำหนดเป้าหมายองค์กรในภาคการเงิน
นักวิจัยที่ Trend Micro หนึ่งในหลาย ๆ คนที่ค้นพบและรายงานข้อบกพร่องดังกล่าวต่อ Microsoft อธิบายว่าช่องโหว่นี้เชื่อมโยงกับช่องโหว่ SmartScreen ที่ได้รับแพตช์ก่อนหน้านี้ (CVE-2023-36025, CVSS 8.8) และส่งผลต่อ Windows เวอร์ชันที่รองรับทั้งหมด นักแสดง Water Hydra ใช้ CVE-2024-21412 เพื่อเข้าถึงระบบของผู้ค้าทางการเงินเป็นครั้งแรก และวางโทรจันการเข้าถึงระยะไกลของ DarkMe ลงไป
เพื่อใช้ประโยชน์จากช่องโหว่นี้ ผู้โจมตีจะต้องส่งไฟล์ที่เป็นอันตรายไปยังผู้ใช้เป้าหมายและให้พวกเขาเปิดมันขึ้นมา ซาอีด อับบาซี ผู้จัดการฝ่ายวิจัยช่องโหว่ของ Qualys กล่าวในการแสดงความคิดเห็นทางอีเมล “ผลกระทบของช่องโหว่นี้มีผลกระทบอย่างลึกซึ้ง โดยกระทบต่อความปลอดภัย และบ่อนทำลายความไว้วางใจในกลไกการป้องกันเช่น SmartScreen” Abbasi กล่าว
SmartScreen บายพาส Zero-Day
Zero-day อื่นๆ ที่ Microsoft เปิดเผยในการอัปเดตความปลอดภัยของเดือนนี้ส่งผลต่อ Defender SmartScreen ตามที่ไมโครซอฟต์ระบุว่า CVE-2024-21351 เป็นข้อบกพร่องระดับความรุนแรงปานกลางที่ช่วยให้ผู้โจมตีสามารถเลี่ยงผ่านการป้องกัน SmartScreen และแทรกโค้ดเข้าไปเพื่อเพิ่มความสามารถในการเรียกใช้โค้ดจากระยะไกล การใช้ประโยชน์ที่ประสบความสำเร็จอาจนำไปสู่การเปิดเผยข้อมูลอย่างจำกัด ปัญหาความพร้อมใช้งานของระบบ หรือทั้งสองอย่าง Microsoft กล่าว ไม่มีรายละเอียดว่าใครบ้างที่อาจใช้ประโยชน์จากจุดบกพร่องนี้และเพื่อวัตถุประสงค์ใด
ในความคิดเห็นที่เตรียมไว้สำหรับ Dark Reading ไมค์ วอลเตอร์ส ประธานและผู้ร่วมก่อตั้ง Action1 กล่าวว่าช่องโหว่นี้เชื่อมโยงกับลักษณะที่ Mark of the Web ของ Microsoft (ฟีเจอร์สำหรับระบุเนื้อหาที่ไม่น่าเชื่อถือจากอินเทอร์เน็ต) โต้ตอบกับฟีเจอร์ SmartScreen “สำหรับช่องโหว่นี้ ผู้โจมตีจะต้องกระจายไฟล์ที่เป็นอันตรายไปยังผู้ใช้และชักชวนให้พวกเขาเปิดมัน ทำให้พวกเขาหลีกเลี่ยงการตรวจสอบ SmartScreen และอาจส่งผลต่อความปลอดภัยของระบบ” Walters กล่าว
ข้อบกพร่องที่มีลำดับความสำคัญสูง
ในบรรดาช่องโหว่ร้ายแรงทั้งห้ารายการในการอัปเดตเดือนกุมภาพันธ์ ช่องโหว่ที่ต้องให้ความสำคัญเป็นอันดับแรกคือ CVE-2024-21410ซึ่งเป็นช่องโหว่ในการยกระดับสิทธิ์ใน Exchange Server ซึ่งเป็นเป้าหมายยอดนิยมของผู้โจมตี ผู้โจมตีสามารถใช้จุดบกพร่องเพื่อเปิดเผยแฮช Net-New Technology LAN Manager (NTLM) เวอร์ชัน 2 ของผู้ใช้เป้าหมาย จากนั้นถ่ายทอดข้อมูลประจำตัวนั้นกับ Exchange Server ที่ได้รับผลกระทบ และรับรองความถูกต้องในฐานะผู้ใช้
Satnam Narang วิศวกรวิจัยอาวุโสของ Tenable กล่าวว่าข้อบกพร่องเช่นนี้ซึ่งเปิดเผยข้อมูลที่ละเอียดอ่อน เช่น แฮช NTLM อาจมีคุณค่ามากสำหรับผู้โจมตี “ผู้ดำเนินการภัยคุกคามในรัสเซียใช้ประโยชน์จากช่องโหว่ที่คล้ายกันในการโจมตี - CVE-2023-23397 เป็นช่องโหว่ Elevation of Privilege ใน Microsoft Outlook ที่ได้รับแพตช์ในเดือนมีนาคม 2023” เขากล่าว
ในการแก้ไขข้อบกพร่อง ผู้ดูแลระบบ Exchange จะต้องตรวจสอบให้แน่ใจว่าพวกเขาได้ติดตั้งการอัปเดต Exchange Server 2019 Cumulative Update 14 (CU14) และให้แน่ใจว่าฟีเจอร์ Extended Protection for Authentication (EPA) ถูกเปิดใช้งาน Trend Micro กล่าว ผู้ขายระบบรักษาความปลอดภัยชี้ไปที่ บทความที่ Microsoft ได้เผยแพร่ ที่ให้ข้อมูลเพิ่มเติมเกี่ยวกับวิธีการแก้ไขช่องโหว่
Microsoft ได้กำหนดให้ CVE-2024-21410 มีระดับความรุนแรงสูงสุดที่ 9.1 จาก 10 ซึ่งทำให้เป็นจุดอ่อนที่สำคัญ แต่โดยทั่วไปแล้ว ช่องโหว่ในการยกระดับสิทธิพิเศษมักจะได้คะแนนค่อนข้างต่ำในระดับคะแนนช่องโหว่ CVSS ซึ่งปฏิเสธลักษณะที่แท้จริงของภัยคุกคามที่มีอยู่ Kev Breen ผู้อำนวยการอาวุโสฝ่ายวิจัยภัยคุกคามของ Immersive Labs กล่าว “แม้จะมีคะแนนต่ำ แต่ช่องโหว่ [privilege escalation] ยังเป็นที่ต้องการอย่างมากจากผู้คุกคาม และใช้ในเกือบทุกเหตุการณ์ทางไซเบอร์” บรีนกล่าวในแถลงการณ์ “เมื่อผู้โจมตีสามารถเข้าถึงบัญชีผู้ใช้ผ่านทางวิศวกรรมสังคมหรือการโจมตีอื่น ๆ พวกเขาจะพยายามขยายการอนุญาตของพวกเขาต่อไปให้กับผู้ดูแลระบบท้องถิ่นหรือผู้ดูแลระบบโดเมน”
ไฮไลท์วอลเตอร์สจาก Action1 CVE-2024-21413ซึ่งเป็นข้อบกพร่อง RCE ใน Microsoft Outlook ที่เป็นช่องโหว่ที่ผู้ดูแลระบบอาจต้องการจัดลำดับความสำคัญจากชุดของเดือนกุมภาพันธ์ ข้อบกพร่องด้านความรุนแรงระดับวิกฤตที่มีคะแนนความรุนแรงสูงสุดเกือบ 9.8 เกี่ยวข้องกับความซับซ้อนในการโจมตีต่ำ ไม่มีการโต้ตอบกับผู้ใช้ และไม่จำเป็นต้องมีสิทธิพิเศษสำหรับผู้โจมตีในการหาประโยชน์ “ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ผ่านบานหน้าต่างแสดงตัวอย่างใน Outlook ทำให้พวกเขาสามารถหลีกเลี่ยง Office Protected View และบังคับให้เปิดไฟล์ในโหมดแก้ไข แทนที่จะอยู่ในโหมดป้องกันที่ปลอดภัยกว่า” Walters กล่าว
Microsoft เองระบุช่องโหว่นี้เป็นสิ่งที่ผู้โจมตีมีโอกาสน้อยที่จะโจมตี อย่างไรก็ตาม Walters กล่าวว่าช่องโหว่ดังกล่าวก่อให้เกิดภัยคุกคามอย่างมากต่อองค์กรต่างๆ และจำเป็นต้องได้รับการดูแลโดยทันที
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/vulnerabilities-threats/attackers-exploit-microsoft-security-bypass-zero-day-bugs
