Gorączka zakupów grudniowych trwa, a niektórzy pewnie stoją w kolejkach po karpia zamiast debugować kod i wygrywać bug bounty 😉 Może z tego powodu w tym miesiącu pojawiło się mniej luk do naprawy. Wtorkowa aktualizacja z grudnia przyniosła na koniec roku tylko 34 poprawki (dla porównania w zeszłym miesiącu były 63 luki).
W tym miesiącu Microsoft nie załatał żadnych luk typu zero-day, i był to dopiero drugi taki przypadek w 2023 roku (pierwszym takim miesiącem był czerwiec). Z 34 luk załatanych w tym miesiącu 11 zostało sklasyfikowanych jako luki w zabezpieczeniach, które według Microsoftu są bardziej prawdopodobne. Cztery luki są na poziomie krytycznym. Prawie trzy czwarte błędów to luki w zabezpieczeniach związane z podniesieniem uprawnień, a na drugim miejscu znajdują się błędy związane ze zdalnym wykonaniem kodu (18,2%).
Dokładny podział przedstawia się następująco:
- 10 luk związanych z podniesieniem uprawnień,
- 8 luk umożliwiających zdalne wykonanie kodu,
- 6 luk umożliwiających ujawnienie informacji,
- 5 luk umożliwiających odmowę usługi,
- 5 luk związanych z fałszowaniem.
Luki godne uwagi:
CVE-2023-35628
Wśród usterek, w przypadku których wykorzystanie jest bardziej prawdopodobne, znajduje się CVE-2023-35628, luka RCE na platformie Windows MSHTML.
„Osoba atakująca może wykorzystać tę lukę, wysyłając specjalnie spreparowaną wiadomość e‑mail, która uruchamia się automatycznie po jej pobraniu i przetworzeniu przez klienta Outlook. Może to prowadzić do nadużyć ZANIM wiadomość e-mail zostanie wyświetlona w okienku podglądu” – wyjaśnia Microsoft.
Jedyna rzecz, która sprawia, iż exploit jest trudny do przeprowadzenia, to fakt, iż atakujący muszą być w stanie jednocześnie używać „złożonych technik kształtowania pamięci”.
CVE-2023-35636
CVE-2023-35636, luka w programie Microsoft Outlook, może pozwolić osobie atakującej na przechwycenie skrótów NTLM (hash hasła). A co z takim zdobytym skrótem można zrobić, opisywaliśmy wcześniej tutaj.
Atakujący jest w stanie wykorzystać podatność, przekonując potencjalną ofiarę do otwarcia specjalnie spreparowanego pliku, który może zostać dostarczony pocztą e‑mail lub umieszczony na złośliwej stronie internetowej. To, co wyróżnia tę wersję, to fakt, iż wykorzystanie jej doprowadziłoby do ujawnienia skrótów NTLM, które można wykorzystać w ramach ataku przekaźnikowego NTLM.
Jako ciekawostkę dodamy, iż przypomina ona lukę CVE-2023-23397 (opisywaliśmy ją tutaj), czyli błąd w zabezpieczeniach umożliwiający podniesienie uprawnień w programie Microsoft Outlook. Została ona wykorzystana w środowisku naturalnym jako dzień zerowy i załatana we wtorkowej wersji z łatką z marca 2023 roku. Jednak w przeciwieństwie do CVE-2023-23397, CVE-2023-35636 nie można wykorzystać za pośrednictwem okienka podglądu Microsoft, co zmniejsza jej wagę.
CVE-2023-36019
CVE-2023-36019 to podatność w zabezpieczeniach systemu Microsoft Power Platform (i Azure Logic Apps) służąca do fałszowania konektorów, które korzystają z protokołu OAuth 2.0 do automatycznego uwierzytelniania.
„Luka znajduje się na serwerze internetowym, ale złośliwe skrypty są uruchamiane w przeglądarce ofiary na jej komputerze” – zauważył Microsoft. „Użytkownik musiałby kliknąć specjalnie spreparowany adres URL, aby atakujący mógł go złamać. Osoba atakująca może manipulować złośliwym łączem, aplikacją lub plikiem, aby ukryć je jako legalne łącze lub plik i oszukać ofiarę.
Przypominamy, iż administratorzy muszą całkowicie załatać lukę, aktualizując istniejące niestandardowe konektory OAuth 2.0, i muszą to zrobić przed 17 lutego 2024 r., ponieważ nalega na to Microsoft. „Każdy niestandardowy konektor, który nie został zaktualizowany tak, aby korzystał z identyfikatora URI przekierowania dla wszystkich konektora, przestanie działać w przypadku nowych połączeń i wyświetli użytkownikowi komunikat o błędzie”.
CVE-2023-20588 i CVE-2023-36696
Powyższe luki to kolejno błąd w niektórych modelach procesorów AMD, który może skutkować utratą poufności (wymagana aktualizacja systemu Windows) oraz luka umożliwiająca podniesienie uprawnień w ministerowniku filtra Windows Cloud Files. To szósta luka w eskalacji uprawnień wykryta w tym sterowniku w 2023 r. W zeszłym miesiącu Microsoft załatał CVE-2023-36036, osobną lukę w podniesieniu uprawnień w tym samym sterowniku, która była wykorzystywana w środowisku naturalnym jako dzień zerowy.
Osoba atakująca może wykorzystać CVE-2023-36696 w ramach operacji „po włamaniu” w celu podniesienia uprawnień do SYSTEM, czyli najwyższych na Windows.