Η Microsoft heeft beveiligingsupdates uitgebracht voor de maand april 2024 om een record te verbeteren 149 defecten , waarvan er twee actief in het wild zijn geëxploiteerd.
Van de 149 defecten zijn er drie beoordeeld als kritiek, 142 als belangrijk, drie als matig en één als laag ernstig. Van de update is geen sprake 21 kwetsbaarheden waarmee het bedrijf te maken kreeg in zijn Chromium-gebaseerde Edge-browser na de release van van maart dinsdag 2024 patchfixes .
De twee tekortkomingen die actief zijn uitgebuit zijn de volgende:
- CVE-2024-26234 (CVSS-score: 6,7) – Kwetsbaarheid voor spoofing van proxydrivers
- CVE-2024-29988 (CVSS-score: 8,8) – SmartScreen Prompt-beveiligingsfuncties omzeilen kwetsbaarheden
Hoewel het advies van Microsoft geen informatie geeft over de CVE-2024-26234, het cyberbedrijfveiligheidSophos zei dat het in december 2023 een kwaadaardig uitvoerbaar bestand (“Catalog.exe” of “Catalog Authentication Client Service”) ontdekte dat ondertekend van een geldige uitgever van Microsoft Windows-hardwarecompatibiliteit ( WHCP ) certificaat.
De Authenticode-analyse van het binaire bestand onthulde de oorspronkelijke verzoekende uitgever aan Hainan YouHu Technology Co. Ltd, dat ook de uitgever is van een andere tool genaamd LaiXi Android Screen Mirroring.
Dit laatste wordt beschreven als “marketingsoftware … [die] honderden mobiele telefoons kan verbinden en deze in batches kan besturen en taken kan automatiseren zoals het volgen van groepen, het leuk vinden en reageren”.
Binnen de veronderstelde authenticatiedienst wordt een component genoemd 3proxy die is ontworpen om netwerkverkeer op een geïnfecteerd systeem te monitoren en te onderscheppen en effectief als achterdeur te fungeren.
"We hebben geen aanwijzingen dat de LaiXi-ontwikkelaars het kwaadaardige bestand opzettelijk in hun product hebben geïntegreerd, of dat een bedreigingsactoren een supply chain-aanval hebben uitgevoerd om het in het bouw-/bouwproces van de LaiXi-applicatie te injecteren", aldus de woordvoerder. hij beweerde Sophos-onderzoeker Andreas Klopsch. .
Het cyberbeveiligingsbedrijf zei ook dat het op 5 januari 2023 verschillende andere varianten van de achterdeur in het wild had ontdekt, wat aangeeft dat de campagne in ieder geval sindsdien loopt. Microsoft heeft sindsdien de relevante bestanden aan zijn terugroeplijst toegevoegd.
"Om deze beveiligingsfunctie te misbruiken om de kwetsbaarheid te omzeilen, zou een aanvaller een gebruiker moeten overtuigen om kwaadaardige bestanden te starten met behulp van een opstartprogramma dat vraagt om geen gebruikersinterface weer te geven", aldus Microsoft.
"In een aanvalsscenario per e-mail of instant messaging kan een aanvaller de beoogde gebruiker een speciaal vervaardigd bestand sturen dat is ontworpen om misbruik te maken van de kwetsbaarheid voor het uitvoeren van externe code."
Het Zero Day-initiatief onthuld dat er bewijs is van misbruik van de fout in het wild, hoewel Microsoft deze heeft gemarkeerd met de beoordeling “Most Likely Exploitation”.
Een ander belangrijk probleem is kwetsbaarheid CVE-2024-29990 (CVSS-score: 9.0), een fout in misbruik van bevoegdheden die van invloed is op de Microsoft Azure Kubernetes Service Container Confidential en die door niet-geverifieerde aanvallers kan worden misbruikt om inloggegevens te stelen.
"Een aanvaller heeft toegang tot het niet-vertrouwde AKS Kubernetes-knooppunt en de AKS Confidential Container om vertrouwelijke gasten en containers over te nemen buiten de netwerkstack waaraan ze mogelijk gebonden zijn", aldus Redmond.
Over het geheel genomen is de release opmerkelijk vanwege het aanpakken van maximaal 68 uitvoering van externe code, 31 escalatie van bevoegdheden, 26 omzeilingen van beveiligingsfuncties en zes denial-of-service (DoS) bugs. Interessant is dat 24 van de 26 fouten bij het omzeilen van de beveiliging verband houden met Secure Boot.
“Terwijl geen van deze kwetsbaarheden Beveiligd Opstarten die deze maand zijn aangepakt, werden niet in het wild uitgebuit, ze dienen als een herinnering dat er nog steeds fouten in Secure Boot bestaan en dat we in de toekomst meer Secure Boot-gerelateerde kwaadaardige activiteiten zouden kunnen zien”, zegt Satnam Narang, senior staff research engineer bij Tenable. een verklaring.
De openbaring komt zoals Microsoft heeft gedaan kritiek onder ogen zien over zijn beveiligingspraktijken, met een recent rapport van de Board of Review Cyberbeveiliging(CSRB) roept het bedrijf op omdat het niet genoeg doet om een cyberspionagecampagne te voorkomen die wordt georkestreerd door een Chinese bedreigingsacteur, gevolgd als Storm. -0558 vorig jaar.
Het volgt ook de beslissing van het bedrijf om gegevens over de hoofdoorzaak publiceren voor beveiligingsfouten met behulp van de Common Weakness Enumeration (CWE) industriestandaard. Het is echter vermeldenswaard dat de wijzigingen alleen van toepassing zijn vanaf de adviezen die vanaf maart 2024 zijn gepubliceerd.
"Het toevoegen van CWE-beoordelingen aan het beveiligingsadvies van Microsoft helpt bij het identificeren van de algemene oorzaak van een kwetsbaarheid", zegt Adam Barnett, hoofdsoftware-ingenieur bij Rapid7, in een verklaring gedeeld met The Hacker News.
“Het CWE-programma heeft onlangs zijn richtlijnen bijgewerkt het in kaart brengen van CVE’s aan een CWE-oorzaak . Het analyseren van CWE-trends kan ontwikkelaars helpen toekomstige gebeurtenissen te verminderen door verbeterde workflows en testen van de Software Development Life Cycle (SDLC) en verdedigers te helpen begrijpen waar ze diepgaande defensie-inspanningen op moeten richten en de ontwikkeling te versterken voor een beter rendement op investeringen.
In een gerelateerde ontwikkeling heeft cyberbeveiligingsbedrijf Varonis twee methoden blootgelegd die aanvallers kunnen gebruiken om auditlogboeken te omzeilen en te voorkomen dat downloadgebeurtenissen worden geactiveerd bij het exporteren van bestanden uit SharePoint.
De eerste benadering maakt gebruik van de "Open in App"-functie van SharePoint om bestanden te openen en te downloaden, terwijl de tweede de user-agent voor Microsoft SkyDriveSync gebruikt om bestanden of zelfs hele sites te downloaden, waardoor dergelijke gebeurtenissen verkeerd worden geclassificeerd als bestandssynchronisaties in plaats van downloads.
"Deze technieken kunnen het detectie- en handhavingsbeleid van traditionele tools, zoals beveiligingsmakelaars voor cloudtoegang, preventie van gegevensverlies en SIEM's, omzeilen door downloads te vermommen als minder verdachte toegangs- en synchronisatiegebeurtenissen", zegt hij. hij zei Erik Saraga.
Softwarefixes van derden
Naast Microsoft zijn er de afgelopen weken ook beveiligingsupdates uitgebracht door andere leveranciers om diverse kwetsbaarheden te verhelpen, waaronder:
- adobe
- AMD
- Android
- Apache XML-beveiliging voor C++
- Aruba Networks
- Atos
- Bosch
- Cisco
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Chrome
- Google Cloud
- Google Pixel
- Hikvision
- Hitachi Energie
- HP
- HP Enterprise
- HTTP / 2
- IBM
- Ivanta
- Jenkins
- Lenovo
- LG webOS
- Linux-distributies Debian, Oracle Linux, Red Hat, SUSE en Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR en Thunderbird
- NETGEAR
- NVIDIA
- Qualcomm
- Rockwell Automation
- Roest
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- VMware
- WordPress
- Zoom
