Microsoft dostarczył aż 70 nowych poprawek w ramach czerwcowego programu łatania podatności „Patch Tuesday”. Dobra wiadomość jest taka, iż po raz pierwszy żadna z naprawionych luk nie jest w tej chwili wykorzystywana przez atakujących ani nie była wcześniej znana publicznie.
Zaczynamy od opisania najważniejszych podatności i jak zwykle radzimy, by załatać je jak najszybciej.
CVE-2023-3079 – poprawka na lukę w Chromium
Microsoft naprawił zidentyfikowaną wcześniej w przeglądarce Chrome podatność CVE-2023-3079, lukę w zabezpieczeniach silnika JavaScript V8 Chromium, która została wykorzystana przez atakujących w celu zaatakowania użytkowników tej przeglądarki. Ponieważ Microsoft Edge jest oparta na bazie kodów open source Chromium, 6 czerwca Microsoft wypuścił łatkę także dla swojej przeglądarki, a towarzysząca jej porada została opublikowana we wtorek.
CVE-2023-32031 – RCE w Microsoft Exchange Server (2016 i 2019)
Osoba atakująca musi zostać uwierzytelniona, aby wykorzystać tę lukę. jeżeli to wymaganie zostanie spełnione, może ona podjąć próbę uruchomienia złośliwego kodu w kontekście konta serwera za pośrednictwem wywołania sieciowego. Z uwagi na niską złożoność ataku i potrzebne do niego niewielkie uprawnienia, a także brak interakcji użytkownika zalecamy załatanie luk CVE-2023-32031 oraz CVE-2023-28310 w ciągu 24 godzin, w celu uniknięcia wykorzystania ich przez atakujących.
CVE-2023-29357 – EoP w Microsoft SharePoint
To krytyczna luka umożliwiająca podniesienie uprawnień (EoP) w programie Microsoft SharePoint Server 2019. Wymaga z pewnością natychmiastowego załatania. Podatność odkrył badacz pracujący w programie Zero Day Initiative w Trend Micro.
Błąd jest jedną z podatności połączonych podczas konkursu Pwn2Own Vancouver, który odbył się w marcu. Występuje w metodzie ValidateTokenIssuer, która pozwala ominąć mechanizm uwierzytelniania.
Atakujący, który uzyska dostęp do sfałszowanych tokenów uwierzytelniających JWT, może następnie użyć ich do przeprowadzenia ataku sieciowego omijającego uwierzytelnianie i umożliwiającego uzyskanie dostępu do uprawnień uwierzytelnionego użytkownika. Haker nie potrzebuje żadnych uprawnień, a użytkownik nie musi wykonywać żadnych działań.
Eksfiltracja poufnych informacji jest priorytetem zarówno dla podmiotów przestępczych, jak i szpiegów państwowych. W związku z tym prawdopodobne jest masowe wykorzystywanie publicznych instancji programu SharePoint w niedalekiej przyszłości. Ponadto aktor wykorzysta tę lukę prawdopodobnie niedługo po uzyskaniu dostępu do danego wewnętrznego systemu korporacyjnego, co skraca czas na reakcję przed kradzieżą danych.
Uwaga! Klienci z instancją Sharepoint onprem (lokalna), którzy włączyli funkcję AMSI, są chronieni przed tą luką. Wszyscy inni powinni zainstalować łatkę w ciągu 24 godzin, aby uniknąć ataku.
Luki w Windows
Nowe trzy różne luki w zabezpieczeniach CVE-2023-29363, CVE-2023-32014, CVE-2023-32015 mające wpływ na protokół Windows Pragmatic General Multicast (PGM) zainstalowany z usługą kolejkowania wiadomości (MSMQ) mogą umożliwić zdalnemu, nieuwierzytelnionemu atakującemu wykonanie kodu w zagrożonym systemie.
PGM nie jest domyślnie włączony, ale nie jest też rzadką konfiguracją.
Podsumowanie
Opisane wyżej luki, w szczególności dla Microsoft w Exchange i Sharepoint, zostały ocenione jako ważne, a prawdopodobieństwo ich wykorzystania jest większe niż w przypadku niektórych innych luk naprawionych w tym miesiącu.
W przeciwieństwie do poprzednich luk Microsoft Exchange Server, które były oceniane wyżej i nie wymagały uwierzytelniania, te konkretne wymagają uwierzytelnienia osoby atakującej. Cyberprzestępcy mogą je potencjalnie wykorzystać, jeżeli będą w stanie uzyskać prawidłowe dane uwierzytelniające, co oczywiście, jak wiemy z wcześniejszych artykułów na Kapitanie, nie jest aż tak trudne do osiągnięcia.
Mamy nadzieję, iż administratorzy w firmach w miarę gwałtownie zaktualizują systemy, zanim rozpocznie się jakakolwiek aktywna eksploitacja.