การอัปเดตด้านความปลอดภัยรายเดือนของ Microsoft ในเดือนธันวาคม 2023 จะเป็นช่วงพักอันสดชื่นสำหรับทีมไอทีและทีมรักษาความปลอดภัยอย่างแน่นอน มีช่องโหว่ให้แก้ไขน้อยกว่าในเดือนที่ผ่านมา
การอัปเดตนี้รวมการแก้ไขช่องโหว่ทั้งหมด 36 รายการ โดย XNUMX รายการในนั้น Microsoft ระบุว่ามีความรุนแรงระดับวิกฤต XNUMX รายการถือว่าปานกลาง และที่เหลือเป็นภัยคุกคามที่สำคัญหรือรุนแรงปานกลาง ข้อบกพร่อง XNUMX รายการในการอัปเดตเดือนธันวาคม หรือมากกว่า XNUMX ใน XNUMX เป็นปัญหาที่ผู้คุกคามมีแนวโน้มที่จะใช้ประโยชน์ นั่นคือคำอธิบายที่ Microsoft สงวนไว้สำหรับจุดบกพร่องที่น่าจะเป็น เป้าหมายที่น่าสนใจสำหรับผู้โจมตี และสิ่งหนึ่งที่พวกเขาสามารถใช้ประโยชน์ได้อย่างต่อเนื่อง
แผ่นแปะนั้น ไมโครซอฟต์เปิดตัววันนี้ รวมหนึ่งรายการสำหรับช่องโหว่ในชิปเซ็ต AMD (CVE-2023-20588) ซึ่งมีการพิสูจน์แนวคิดต่อสาธารณะ แต่เป็นครั้งที่สองของปีนี้ การอัปเดตความปลอดภัยในเดือนธันวาคมไม่มีข้อบกพร่องใดๆ ซึ่งโดยปกติแล้วจะต้องได้รับการตอบสนองทันที
ของขวัญวันหยุดช่วงต้น?
“แพทช์วันอังคารในเดือนธันวาคมอาจดูเหมือนเป็นของขวัญในช่วงต้นฤดูกาลสำหรับทีมรักษาความปลอดภัยที่มีแพทช์จำนวนเล็กน้อย และไม่มีผู้ใดรายงานว่าถูกหาประโยชน์ในป่า” Kev Breen ผู้อำนวยการอาวุโสฝ่ายวิจัยภัยคุกคามของ Immersive Labs กล่าว “แต่นี่ไม่ได้หมายความว่าใครก็ตามควรพักผ่อนอย่างสบายใจด้วยไวน์ผสมเครื่องเทศสักแก้ว” เขาชี้ให้เห็นถึงจำนวน CVE ที่ค่อนข้างสูงที่ Microsoft ระบุว่ามีแนวโน้มที่จะถูกนำไปใช้ประโยชน์เป็นเหตุผลหนึ่งของความขยัน โดยเฉพาะอย่างยิ่งเมื่อพิจารณาถึงความรวดเร็วของผู้โจมตีใช้ประโยชน์จากข้อบกพร่องใหม่ ๆ ในปัจจุบัน
โดยเฉพาะอย่างยิ่ง การอัปเดตแพตช์ประกอบด้วยการแก้ไขช่องโหว่ในการยกระดับสิทธิ์ 10 รายการ ซึ่งเป็นหมวดหมู่ของข้อบกพร่องที่มีระดับความรุนแรงต่ำกว่าข้อบกพร่องในการเรียกใช้โค้ดจากระยะไกลอย่างสม่ำเสมอ แต่เกือบจะเป็นอันตรายเท่ากัน Breen กล่าว “การละเมิดความปลอดภัยเกือบทั้งหมดจะมีขั้นตอนการยกระดับสิทธิ์ที่ช่วยให้ผู้โจมตีได้รับสิทธิ์ระดับระบบและปิดการใช้งานเครื่องมือรักษาความปลอดภัยหรือปรับใช้การโจมตีและเครื่องมืออื่น ๆ” เขากล่าว
จุดบกพร่องที่ต้องจัดลำดับความสำคัญในชุดเดือนธันวาคม
ในช่วงพักจากปกติ นักวิจัยด้านความปลอดภัยได้แก้ไขสิ่งที่พวกเขามองว่าเป็นข้อบกพร่องที่สำคัญที่สุดในชุดล่าสุดที่แตกต่างกันเล็กน้อย แต่ข้อบกพร่องประการหนึ่งที่เห็นด้วยมากที่สุดคือปัญหาที่มีลำดับความสำคัญสูงก็คือ CVE-2023-35628ซึ่งเป็นจุดบกพร่องในการเรียกใช้โค้ดจากระยะไกลในแพลตฟอร์ม Windows MSHTML Microsoft ให้คะแนนความรุนแรงแก่จุดบกพร่องที่ 8.1 เต็ม 10 ในระดับ CVSS และระบุว่าเป็นปัญหาที่ผู้คุกคามมีแนวโน้มที่จะละเมิด
“ต่างจากกรณีปกติที่การดูอีเมลในหน้าต่างแสดงตัวอย่างทำให้เกิดปัญหา แต่ปัญหานี้จะเกิดขึ้นเร็วกว่านี้” Saeed Abbasi ผู้จัดการฝ่ายวิจัยช่องโหว่และภัยคุกคามของ Qualys กล่าว “ปัญหาเกิดขึ้นทันทีที่ Outlook ดาวน์โหลดและจัดการอีเมล แม้กระทั่งก่อนที่จะปรากฏในบานหน้าต่างแสดงตัวอย่าง”
เขาคาดการณ์ว่าแก๊งค์แรนซัมแวร์จะพยายามใช้ประโยชน์จากกระแสนี้ “แต่การใช้ประโยชน์จากมันให้ประสบความสำเร็จนั้นต้องใช้เทคนิคการสร้างหน่วยความจำที่ซับซ้อน ทำให้เกิดความท้าทายอย่างมาก” Abbasi กล่าวเสริม
นอกจากนี้ ความรุนแรงของข้อบกพร่องที่เพิ่มมากขึ้นก็คือความจริงที่ว่า MSHTML เป็นองค์ประกอบหลักของ Windows สำหรับการแสดงผล HTML และเนื้อหาบนเบราว์เซอร์อื่นๆ ส่วนประกอบนี้ไม่ได้เป็นเพียงส่วนหนึ่งของเบราว์เซอร์ แต่ยังรวมถึงแอปพลิเคชันเช่น Microsoft Office, Outlook, Teams และ Skype ด้วย Breen กล่าว
Jason Kikta, CISO ของ Automox เน้นย้ำ CVE-2023-35618ซึ่งเป็นการยกระดับสิทธิ์ในเบราว์เซอร์ Edge ที่ใช้ Chromium ของ Microsoft ซึ่งเป็นปัญหาที่องค์กรจำเป็นต้องแก้ไขตามลำดับความสำคัญ “ช่องโหว่นี้ได้รับการจัดอันดับว่ามีความรุนแรงปานกลาง แต่ก็ไม่ควรมองข้าม” Kikta กล่าว “มันอาจนำไปสู่การหลบหนีแซนด์บ็อกซ์ของเบราว์เซอร์ เปลี่ยนสภาพแวดล้อมการเรียกดูที่ปลอดภัยตามปกติของ Microsoft Edge ให้เป็นความเสี่ยงที่อาจเกิดขึ้น”
Microsoft เองให้คะแนนความรุนแรงของ CVSS ให้กับข้อบกพร่องที่ 9.6 จากคะแนนสูงสุดที่เป็นไปได้ 10 ในเวลาเดียวกัน บริษัทยังประเมินข้อบกพร่องนี้ว่าเป็นเพียงปัญหาช่องโหว่ระดับความรุนแรงปานกลางเท่านั้น เนื่องจากจำนวนการโต้ตอบของผู้ใช้และเงื่อนไขเบื้องต้นที่จำเป็นสำหรับผู้โจมตี เพื่อให้สามารถใช้ประโยชน์จากมันได้
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลสองในเจ็ดรายการในการอัปเดตเดือนธันวาคม 2023 ส่งผลต่อฟีเจอร์ Internet Connection Sharing (ICS) ใน Windows ช่องโหว่ทั้งสอง — CVE-2023-35641 และ CVE-2023-35630 — มีคะแนน CVSS เท่ากันที่ 8.8 แม้ว่า Microsoft จะระบุเฉพาะรายการแรกว่าเป็นช่องโหว่ที่ผู้โจมตีมีแนวโน้มที่จะกำหนดเป้าหมายมากกว่า
“ช่องโหว่เหล่านี้มีลักษณะคล้ายกัน รวมถึงเวกเตอร์การโจมตีที่อยู่ติดกัน ความซับซ้อนต่ำ ข้อกำหนดสิทธิพิเศษต่ำ และไม่จำเป็นต้องมีการโต้ตอบกับผู้ใช้” ไมค์ วอลเตอร์ส ประธานและผู้ร่วมก่อตั้ง Action1 กล่าว “ขอบเขตของการโจมตีเหล่านี้จำกัดอยู่ในระบบที่อยู่ในส่วนเครือข่ายเดียวกันกับผู้โจมตี ซึ่งหมายความว่าการโจมตีเหล่านี้ไม่สามารถดำเนินการข้ามหลายเครือข่ายได้ เช่น WAN”
ช่องโหว่อีกสองประการที่นักวิจัยด้านความปลอดภัยกล่าวว่าสมควรได้รับความสนใจคือ CVE-2023-35636ข้อบกพร่องในการเปิดเผยข้อมูลใน Outlook และ CVE-2023-36696ซึ่งเป็นการยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Windows Cloud Files Mini Filter
Abbasi กล่าวว่า CVE-2023-35636 น่าสนใจ เนื่องจากไม่ทำให้เกิดปัญหาเมื่อผู้ใช้ดูตัวอย่างอีเมล แต่หากนำไปใช้ในทางที่ผิด อาจเปิดเผยแฮช NTLM ที่แฮกเกอร์สามารถใช้เพื่อแกล้งทำเป็นผู้ใช้รายอื่นและเจาะลึกเข้าไปในเครือข่ายของบริษัทได้ เขากล่าวเสริม
ลดลงเล็กน้อยเมื่อเทียบเป็นรายปี
Satnam Narang วิศวกรวิจัยพนักงานอาวุโสของ Tenable อธิบายว่าช่องโหว่ Mini Filter Drive เป็นสิ่งที่ผู้โจมตีสามารถใช้ประโยชน์ภายหลังการประนีประนอมเพื่อยกระดับสิทธิ์ ข้อบกพร่องนี้เป็นช่องโหว่อันดับที่หกที่ Microsoft เปิดเผยในไดรเวอร์นี้เขากล่าว
“สำหรับปี 2023 Microsoft ได้แพตช์ 909 CVEs, a ลดลงเล็กน้อย 0.87% จากปี 2022ซึ่งเห็น Microsoft patch 917 CVEs” Narang กล่าว ในจำนวนนี้ 23 รายการเป็นช่องโหว่แบบ Zero-day ที่ผู้โจมตีกำลังหาประโยชน์อย่างแข็งขันในขณะที่ Microsoft เปิดเผยและออกแพทช์สำหรับพวกเขา เขากล่าวเพิ่มเติมว่ามากกว่าครึ่งหนึ่งของ Zero-Day ถือเป็นช่องโหว่ของสิทธิพิเศษ
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/vulnerabilities-threats/microsoft-gives-admins-a-reprieve-with-lighter-than-usual-patch-update
