Zespoły ds. bezpieczeństwa będą miały przed sobą pracowite dni po tym, jak w lipcowym wydaniu poprawek Microsoft załatał blisko 140 nowych powszechnych luk w zabezpieczeniach i zagrożeń (CVE). Wtorek poprawek aktualizacja, obejmująca cztery luki typu zero-day – jedną z nich była aktualizacja opracowana przez firmę zewnętrzną, giganta w dziedzinie procesorów, ARM.
Cztery dni zerowe są wymienione (w kolejności numerycznej) w następujący sposób:
- CVE-2024-35264, luka umożliwiająca zdalne wykonanie kodu (RCE) w .NET i Visual Studio. Ta luka ma wynik CVSS 8,1, ale w przeciwieństwie do tego, podczas gdy krąży exploit proof-of-concept, nie wydaje się, aby został jeszcze wykorzystany;
- CVE-2024-37895, luka w zabezpieczeniach umożliwiająca ujawnienie informacji, która dotyczy ARM. Ten błąd ma wynik CVSS 5,9, ale mimo iż został ujawniony publicznie, nie pozostało wykorzystywany;
- CVE-2024-38080, luka w zabezpieczeniach zwiększająca uprawnienia (EoP) w systemie Windows Hyper-V. Ta luka ma wynik CVSS 7,8 i wiadomo, iż została wykorzystana w środowisku naturalnym, chociaż nie opublikowano żadnego publicznego exploita;
- CVE-2024-38112, podatność na podszywanie się w platformie Windows MSHTML. Ta podatność ma wynik CVSS 7,5. Nie ma publicznego exploita, ale jest on wykorzystywany przez nieznanych jeszcze przeciwników.
Skupiając się na luce w programie Hyper-V, Mike Walters, specjalista ds. zarządzania poprawkami Akcja 1 powiedział, iż stanowi „znaczne ryzyko” dla systemów wykorzystujących Hyper-V – wydaje się stosunkowo proste do wykorzystania, a atakujący może z łatwością uzyskać prawa administratora, jeżeli uzyskał początkowy dostęp lokalny, na przykład za pośrednictwem naruszone konto użytkownika w maszynie wirtualnej. Ostatecznie wykorzystuje problem przepełnienia liczb całkowitych w Hyper-V.
„CVE-2024-38080 … wskazuje na wyraźną drogę, którą atakujący mogą przejąć, aby uzyskać wyższe uprawnienia, narażając na szwank poufność, integralność i dostępność wielu zwirtualizowanych systemów” – powiedział Walters.
„W połączeniu z innymi lukami, takimi jak błędy umożliwiające zdalne wykonanie kodu lub ataki polegające na wykorzystaniu luk w dostępie początkowym, np. phishing lub zestawy narzędzi do eksploitów, wektor ataku staje się bardziej wyrafinowany i szkodliwy.
„Przyjęcie proaktywnego podejścia do kwestii bezpieczeństwa, obejmującego terminowe instalowanie poprawek i ścisłe przestrzeganie solidnych praktyk bezpieczeństwa, ma najważniejsze znaczenie dla skutecznego ograniczania tych zagrożeń” – dodał.
Saeed Abbasi, kierownik ds. produktów, podatność na ataki w Jednostka Badawcza Zagrożeń Qualys (TRU) dodało: „Skutki są ogromne, ponieważ ta luka może przyznać atakującym najwyższy poziom dostępu do systemu, co może umożliwić wdrażanie systemu ransomware i innych złośliwych ataków.
„Chociaż Microsoft nie ujawnił zakresu aktywnej eksploatacji, charakter luki w zabezpieczeniach sprawia, iż jest ona głównym celem atakujących. Ze względu na potencjał głębokiej kontroli systemu, ta luka w zabezpieczeniach jest gotowa na wzmożone próby eksploatacji. Połączenie niskiej złożoności i braku wymogu interakcji użytkownika oznacza, iż prawdopodobnie zostanie ona gwałtownie włączona do zestawów exploitów, co doprowadzi do powszechnej eksploatacji.
Abbasi dodał: „Co więcej, możliwość eskalacji uprawnień sprawia, iż ta podatność jest szczególnie szkodliwa w przypadku ataków ransomware, ponieważ umożliwia atakującym wyłączenie środków bezpieczeństwa i skuteczniejsze rozprzestrzenianie się w sieciach, co znacznie zwiększa skutki takich ataków”.
Tymczasem Rob Reeves, główny inżynier ds. cyberbezpieczeństwa w Laboratoria immersyjneuruchomił regułę dotyczącą luki w zabezpieczeniach platformy Windows MSHTLM. „Szczegóły od Microsoftu są skąpe i opisane jedynie jako luka w zabezpieczeniach typu „spoofing”, która wymaga inżynierii społecznej, aby przekonać użytkownika do wykonania dostarczonego pliku” — powiedział.
„Ocenia się, iż luka prawdopodobnie może doprowadzić do zdalnego wykonania kodu, ze względu na powiązanie z CWE-668: Exposure of Resource to Wrong Sphere, a w przypadku udanej eksploatacji prowadzi do całkowitego naruszenia poufności, integralności i dostępności. Wynik CVSS wynoszący zaledwie 7,5, ze względu na trudność w eksploatacji, prawdopodobnie wynika jedynie ze złożoności samego ataku.
Reeves powiedział, iż bez dodatkowych szczegółów od Microsoftu lub pierwotnego reportera – badacza z Check Point – trudno jest udzielić konkretnych wskazówek dotyczących kolejnych kroków, ale biorąc pod uwagę, iż problem dotyczy wszystkich hostów z systemem Windows Server 2008 R2 i nowszym – w tym klientów – i iż obserwuje się aktywne wykorzystanie luki, należy bezzwłocznie nadać mu priorytet i wdrożyć łatkę.
Oprócz luk typu zero-day aktualizacja z lipca 2024 r. wymienia również pięć krytycznych luk, wszystkie typu RCE, którym przyznano oceny CVSS od 7,2 do 9,8. Trzy z nich dotyczą usługi licencjonowania usług pulpitu zdalnego systemu Windows, jedna – biblioteki kodeków systemu Microsoft Windows, a piąta – serwera Microsoft SharePoint Server.
Gracze, uważajcie!
Wreszcie, uwagę przyciągnęła kolejna luka w zabezpieczeniach RCE w adapterze bezprzewodowym Xbox, która trafnie pokazuje, jak ważne jest zabezpieczanie urządzeń i sieci konsumenckich. Może to być równie przydatny element łańcucha ataków cyberprzestępców, jak jakakolwiek luka w zabezpieczeniach serwera w chmurze mająca wpływ na przedsiębiorstwo.
Luka oznaczona numerem CVE-2024-38078 staje się możliwa do wykorzystania, jeżeli atakujący znajduje się w bliskiej odległości od systemu docelowego i zgromadzi szczegółowe informacje na temat środowiska docelowego.
Choć złożoność ta zmniejsza prawdopodobieństwo wykorzystania luki, gdyby jednak do niej doszło, atakujący mógłby wysłać złośliwy pakiet sieciowy do sąsiedniego systemu wykorzystującego kartę i stamtąd uzyskać RCE.
„W przypadku pracy zdalnej zabezpieczenie wszystkich urządzeń, w tym urządzeń IoT, takich jak systemy alarmowe i inteligentne telewizory, jest niezbędne. Atakujący mogą wykorzystać tę lukę w zabezpieczeniach, aby uzyskać nieautoryzowany dostęp i narazić poufne informacje. Odległość, z jakiej sygnały Wi-Fi mogą zostać wykryte, przechwycone i nadane, jest powszechnie niedoceniana, co jeszcze bardziej zwiększa ryzyko tej luki w zabezpieczeniach” — powiedział Ryan Braunstein, Automox szef zespołu operacji bezpieczeństwa.
Aby ograniczyć te zagrożenia, należy regularnie aktualizować wszystkie urządzenia i stosować silne środki bezpieczeństwa sieci, takie jak solidne hasła i szyfrowanie.
„Edukacja wszystkich pracowników, znajomych i członków rodziny na temat znaczenia aktualizowania i aktualizacji urządzeń może nie sprawić, iż staniesz się popularny na imprezach, ale na pewno zmniejszy liczbę telefonów o 2 w nocy” – dodał Braunstein.
