Microsoft łata trzy luki zero-day. Exploitowany WordPad oraz Skype dla firm. Błędy w Exchange i MSMQ. Zamieszczamy porady

kapitanhack.pl 1 rok temu

Jak w co drugi wtorek miesiąca Microsoft opublikował właśnie październikowe łatki, które usuwają łącznie aż 103 luki w zabezpieczeniach. Spośród nich 12 uznano za krytyczne, a trzy luki typu zero-day są w tej chwili aktywnie wykorzystywane. Jedna z luk typu zero-day dotyczy ataków Rapid Reset DDoS, które w ostatnim czasie stały się poważnym problemem.

Jakie luki zostały naprawione?

Kolejny wtorek z łatkami – nowe luki typu zero-day. Tym razem wtorkowa aktualizacja z października 2023 r. zawiera następujące typy luk:

  • 45 luk w zabezpieczeniach umożliwiających zdalne wykonanie kodu (RCE),
  • 26 luk w zabezpieczeniach związanych z podniesieniem uprawnień (EoP),
  • 16 luk w zabezpieczeniach typu „odmowa usługi” (DoS),
  • 12 luk w zabezpieczeniach umożliwiających ujawnienie informacji,
  • 3 luki w zabezpieczeniach umożliwiające obejście funkcji zabezpieczeń,
  • 1 luka w zabezpieczeniach typu Cross-Site Scripting (XSS).

Poniżej zwracamy uwagę na najważniejsze podatności oraz przedstawiamy zagrożenia związane z exploitami typu zero-day. Zalecamy firmom jak najszybsze zaktualizowanie systemów oraz prezentujemy wskazówki, jak się chronić.

Exploitowane zero-daye (CVE-2023-36563, CVE-2023-41763, CVE-2023-44487)

CVE-2023-36563 – podatność w WordPad

CVE-2023-36563, wykryta przez Microsoft Threat Intelligence, to luka w zabezpieczeniach programu WordPad, która może umożliwić atakującym przechwycenie skrótów NTLM (tj. zaszyfrowanych haseł użytkowników w systemach Windows).

W poradniku dotyczącym CVE-2023-36563 opisano dwa możliwe wektory ataku:

  • nakłanianie użytkownika do otwarcia specjalnie spreparowanego złośliwego pliku dostarczonego pocztą elektroniczną, komunikatorem internetowym czy w inny sposób
  • lub powodując uruchomienie niestandardowej aplikacji.

Sam poradnik nie podaje zbyt wielu szczegółów, ale aby w pełni skorzystać z tej możliwości, osoba atakująca musiałaby albo wcześniej uzyskać dostęp do systemu, albo w jakiś sposób wydobyć skrót NTLM w ramach ataku. Microsoft opublikował dalsze szczegóły dotyczące mechanizmu ataku, a także strategie ograniczania ryzyka w artykule KB5032314.

WordPad jest podatny na ataki ze względu na korzystanie z funkcji API systemu Windows OleConvertOLESTREAMToIStorage i OleConvertOLESTREAMToIStorageEx, więc to samo prawdopodobnie dotyczy innych aplikacji korzystających z tych funkcji.

Być może to przypadek, iż Microsoft ogłosił w zeszłym miesiącu, iż WordPad nie jest już aktualizowany i zostanie usunięty w przyszłej wersji systemu Windows, chociaż nie podano jeszcze konkretnego harmonogramu. Nic w tym dziwnego, iż Microsoft zaleca Word jako zamiennik WordPada.

Oprócz zastosowania poprawki dla CVE-2023-36563 administratorzy powinni rozważyć zablokowanie wychodzącego protokołu NTLM przez SMB w systemie Windows 11, aby „znacznie utrudnić exploity wykorzystujące przekaźnik NTLM”. O problemie pisaliśmy już wielokrotnie na Kapitanie.

CVE-2023-41763 – podatność w Skypie dla firm

Administratorzy odpowiedzialni za serwer Skype dla firm powinni zwrócić uwagę na lukę w zabezpieczeniach wykorzystywaną w środowisku naturalnym, umożliwiającą ujawnienie informacji, dla której istnieje publiczny kod exploita. Pomyślne wykorzystanie CVE-2023-41763 za pośrednictwem specjalnie spreparowanego wywołania sieciowego może skutkować ujawnieniem adresów IP i/lub numerów portów.

Chociaż Microsoft nie określa zakresu ujawnienia, prawdopodobnie będzie on ograniczony do tego, co widzi serwer Skype dla firm.

Jak zawsze odpowiednia segmentacja sieci przyniesie korzyści w zakresie głębokiej obrony.

„W niektórych przypadkach ujawnione wrażliwe informacje mogą zapewnić dostęp do sieci wewnętrznych” – twierdzi Microsoft i dlatego klasyfikuje tę lukę jako umożliwiającą podniesienie uprawnień.

CVE-2023-44487 – luka typu zero-day w serwerze www ASP.NET Kestrel: odmowa usługi

CVE-2023-44487 to luka w protokole HTTP/2, która została wykorzystana przez osoby atakujące do przeprowadzenia masowych ataków DDoS w sierpniu 2023 r.

Nazwana „szybkim resetowaniem HTTP/2”, nie jest specyficzna dla Microsoft, ale jest nieodłącznym elementem protokołu HTTP/2. O samej metodzie ataku HTTP/2 pisaliśmy jeszcze w 2020 roku tutaj.

Eksploatacja polega na nadużywaniu braku ograniczeń w anulowaniu żądania HTTP/2 w celu spowodowania poważnego obciążenia serwera przy bardzo niskich kosztach dla atakującego.

W poradniku Microsoft zasadniczo nie podaje żadnych informacji na temat wektora ataku poza faktem, iż luka jest specyficzna dla protokołu HTTP/2, ale sugeruje dwa potencjalne obejścia:

  • wyłączenie protokołu HTTP/2 poprzez modyfikację rejestru Windows
  • uwzględnienie ustawienia protokołów dla wszystkich punktu końcowego Kestrel, w celu ograniczenia aplikacji do protokołu HTTP1.1

Zmiana wersji na HTTP/1.1 prawdopodobnie doprowadzi do znacznego pogorszenia wydajności. Microsoft zaleca terminowe instalowanie poprawek niezależnie od tego, czy zastosowano obejścia.

Uwaga: w poradniku firmy Microsoft hiperłącze dołączone do słowa „obejścia” nie prowadzi do niczego konkretnego, a Kestrel jest błędnie zapisywany jako „Kestral” więcej niż raz, chociaż problemy te prawdopodobnie zostaną niedługo rozwiązane.

Microsoft udostępnił poprawki dla swoich produktów, których dotyczy problem: Windows 10 i 11; Windows Server 2016, 2019 i 2022; ASP.NET Core 7.0; Microsoft Visual Studio 2022, .NET 6.0 i 7.0; i ASP.NET Core 6.0.

Zalecamy klientom samodzielnie hostującym aplikacje internetowe jak najszybszą aktualizację serwerów internetowych / serwerów proxy w celu ochrony swoich środowisk.

Inne istotne luki oraz wycofywanie VBScript

CVE-2023-36778 – podatność RCE w Exchange

W tym miesiącu pojawił się jeden naprawiony błąd Exchange Server (CVE-2023-36778), który można wykorzystać do zdalnego wykonania kodu za pośrednictwem sesji zdalnej PowerShell.

Administratorzy Exchange powinni zwrócić na nią szczególną uwagę, gdyż występuje we wszystkich aktualnych wersjach Exchange Server. Skuteczna eksploatacja wymaga, aby osoba atakująca znajdowała się w tej samej sieci, co host Exchange Server, i używała prawidłowych poświadczeń użytkownika Exchange w sesji zdalnej PowerShell.

Domyślnie usługa PowerShell Remoting zezwala tylko na połączenia od członków grupy Administratorzy, a odpowiednia reguła Zapory systemu Windows dla połączeń za pośrednictwem sieci publicznych odrzuca połączenia spoza tej samej podsieci. Osoby z bezpieczeństwa IT powinny dokonać przeglądu tych zasad, aby upewnić się, iż nie zostały one poluzowane poza domyślne.

Zespół Exchange opublikował także post na blogu, z którym powinny zapoznać się organizacje korzystające z lokalnych serwerów Exchange lub stacji roboczych z narzędziami do zarządzania Exchange.

CVE-2023-36569 – podatność LPE w MS Office

Pakiet Microsoft Office otrzymuje łatkę dotyczącą luki CVE-2023-36569 umożliwiającej lokalną eskalację uprawnień (LPE). Pomyślne wykorzystanie może prowadzić do uprawnień SYSTEMOWYCH, ale Microsoft twierdzi, iż okienko podglądu nie jest wektorem. Poradnik nie zawiera dużo więcej informacji; poprawki są dostępne dla pakietu Office 2019, 2021 i aplikacji dla przedsiębiorstw. Pakietu Office 2016 nie ma na liście, co może oznaczać, iż nie jest podatny na ataki lub iż poprawki zostaną udostępnione później.

CVE-2023-35349 – podatność RCE w MSMQ

CVE-2023-35349, błąd zdalnego wykonania kodu (RCE) w usłudze kolejkowania wiadomości firmy Microsoft, jest robakiem, ponieważ wykorzystanie tego zagrożenia nie wymaga uwierzytelnienia ani interakcji użytkownika i może zostać przeprowadzone przez osobę atakującą zdalnie.

„Zdecydowanie powinieneś sprawdzić swoje systemy, aby zobaczyć, czy jest zainstalowana [Message Queuing], a także rozważyć zablokowanie portu TCP 1801 na firweallu” – radzi firma.

Na koniec dodamy, iż oprócz informacji o wspomnianym wyżej WordPadzie Microsoft ogłosił we wtorek, iż VBScript, często wykorzystywany do dystrybucji złośliwego oprogramowania, jest przestarzały.

„W przyszłych wersjach systemu Windows język VBScript będzie dostępny jako funkcja na żądanie przed jego usunięciem z systemu operacyjnego” – podała firma.

Idź do oryginalnego materiału