Η Microsoft έχει κυκλοφορήσει ενημερώσεις κώδικα προς αντιμετώπιση 73 ελαττώματα ασφαλείας που εκτείνεται στη σειρά λογισμικού της ως μέρος των ενημερώσεων του Patch Tuesday για τον Φεβρουάριο του 2024, συμπεριλαμβανομένων δύο μηδενικών ημερών που έχουν τεθεί υπό ενεργή εκμετάλλευση.
Από τις 73 ευπάθειες, οι 5 βαθμολογούνται ως Κρίσιμες, οι 65 βαθμολογούνται ως Σημαντικές και οι τρεις και βαθμολογούνται μέτρια σε σοβαρότητα. Αυτό είναι επιπλέον σε 24 ελαττώματα που έχουν διορθωθεί στο πρόγραμμα περιήγησης Edge που βασίζεται σε Chromium από την κυκλοφορία του τις ενημερώσεις Patch Τρίτης 24 Ιανουαρίου.
Τα δύο ελαττώματα που αναφέρονται ως υπό ενεργή επίθεση τη στιγμή της κυκλοφορίας είναι παρακάτω –
- CVE-2024-21351 (Βαθμολογία CVSS: 7,6) – Ευπάθεια παράκαμψης λειτουργιών ασφαλείας των Windows SmartScreen
- CVE-2024-21412 (Βαθμολογία CVSS: 8.1) – Ευπάθεια παράκαμψης δυνατοτήτων ασφαλείας αρχείων συντόμευσης Internet
«Η ευπάθεια επιτρέπει σε έναν κακόβουλο παράγοντα να εισάγει κώδικα Εξυπνη οθόνη και πιθανώς να κερδίσει την εκτέλεση κώδικα, η οποία θα μπορούσε ενδεχομένως να οδηγήσει σε κάποια έκθεση δεδομένων, έλλειψη διαθεσιμότητας συστήματος ή και στα δύο», δήλωσε η Microsoft σχετικά με το CVE-2024-21351.
Η επιτυχής εκμετάλλευση του ελαττώματος θα μπορούσε να επιτρέψει σε έναν εισβολέα να παρακάμψει τις προστασίες SmartScreen και να εκτελέσει αυθαίρετο κώδικα. Ωστόσο, για να λειτουργήσει η επίθεση, ο παράγοντας απειλής πρέπει να στείλει στον χρήστη ένα κακόβουλο αρχείο και να πείσει τον χρήστη να το ανοίξει.
Το CVE-2024-21412, με παρόμοιο τρόπο, επιτρέπει σε έναν εισβολέα χωρίς έλεγχο ταυτότητας να παρακάμψει τους εμφανιζόμενους ελέγχους ασφαλείας στέλνοντας ένα ειδικά διαμορφωμένο αρχείο σε έναν στοχευμένο χρήστη.
“Ωστόσο, ο εισβολέας δεν θα είχε κανέναν τρόπο να αναγκάσει έναν χρήστη να δει το περιεχόμενο που ελέγχεται από τον εισβολέα.” Σημείωσε ο Ρέντμοντ. “Αντίθετα, ο εισβολέας θα πρέπει να τους πείσει να αναλάβουν δράση κάνοντας κλικ στον σύνδεσμο του αρχείου.”
Το CVE-2024-21351 είναι το δεύτερο σφάλμα παράκαμψης που ανακαλύφθηκε στο SmartScreen μετά CVE-2023-36025 (Βαθμολογία CVSS: 8,8), η οποία συνδέθηκε από τον τεχνολογικό γίγαντα τον Νοέμβριο του 2023. Το ελάττωμα έχει έκτοτε εκμεταλλευτεί πολλές ομάδες hacking για να πολλαπλασιαστεί DarkGate, Phemedrone Stealer και Mispadu.
Trend Micro, το οποίο περιγράφει λεπτομερώς μια εκστρατεία επίθεσης που ανέλαβε Νερό Ύδρα (γνωστός και ως DarkCasino) που στοχεύει εμπόρους χρηματοπιστωτικών αγορών μέσω μιας εξελιγμένης αλυσίδας επίθεσης zero-day που αξιοποιεί το CVE-2024-21412, περιέγραψε το CVE-2024-21412 ως παράκαμψη για το CVE-2023-36025, επιτρέποντας έτσι στους παράγοντες απειλών να αποφύγουν τον έλεγχο SmartScreen.
Το Water Hydra, που εντοπίστηκε για πρώτη φορά το 2021, έχει ιστορικό επιθέσεων εναντίον τραπεζών, πλατφορμών κρυπτονομισμάτων, υπηρεσιών συναλλαγών, τοποθεσιών τυχερών παιχνιδιών και καζίνο για την παράδοση ενός trojan που ονομάζεται DarkMe χρησιμοποιώντας zero-day exploits, συμπεριλαμβανομένου του ελαττώματος WinRAR που ήρθε στο φως Αύγουστος 2023 (CVE-2023-38831βαθμολογία CVSS: 7,8).
Στα τέλη του περασμένου έτους, η κινεζική εταιρεία κυβερνοασφάλειας NSFOCUS βαθμολόγησε την ομάδα hacking με «οικονομικά κίνητρα» σε μια εντελώς νέα προηγμένη, επίμονη απειλή (APT).
“Τον Ιανουάριο του 2024, η Water Hydra ενημέρωσε την αλυσίδα μόλυνσης της, εκμεταλλευόμενη το CVE-2024-21412 για την εκτέλεση ενός κακόβουλου αρχείου Microsoft Installer (.MSI), βελτιστοποιώντας τη διαδικασία μόλυνσης από το DarkMe,” Trend Micro είπε.
Και οι δύο ευπάθειες ήταν από τότε προστέθηκε στα γνωστά τρωτά σημεία εκμετάλλευσης (ΚΕΒ) κατάλογος από την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA), παροτρύνοντας τις ομοσπονδιακές υπηρεσίες να εφαρμόσουν τις πιο πρόσφατες ενημερώσεις έως τις 5 Μαρτίου 2024.
Επίσης, επιδιορθώθηκαν από τη Microsoft πέντε κρίσιμα ελαττώματα –
- CVE-2024-20684 (Βαθμολογία CVSS: 6,5) – Ευπάθεια άρνησης υπηρεσίας Windows Hyper-V
- CVE-2024-21357 (Βαθμολογία CVSS: 7,5) – Ευπάθεια απομακρυσμένης εκτέλεσης κώδικα Windows Pragmatic General Multicast (PGM)
- CVE-2024-21380 (Βαθμολογία CVSS: 8.0) – Ευπάθεια αποκάλυψης πληροφοριών Microsoft Dynamics Business Central/NAV
- CVE-2024-21410 (Βαθμολογία CVSS: 9,8) – Ευπάθεια προνομίου ανύψωσης διακομιστή Microsoft Exchange
- CVE-2024-21413 (Βαθμολογία CVSS: 9,8) – Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα του Microsoft Outlook
“Το CVE-2024-21410 είναι μια ανύψωση της ευπάθειας προνομίων στον Microsoft Exchange Server”, δήλωσε ο Satnam Narang, ανώτερος ερευνητής μηχανικός του προσωπικού της Tenable, σε μια δήλωση. “Αυτό το ελάττωμα είναι πιο πιθανό να γίνει εκμετάλλευση από εισβολείς σύμφωνα με τη Microsoft.”
“Η εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να οδηγήσει στην αποκάλυψη του κατακερματισμού Net-New Technology LAN Manager (NTLM) έκδοσης 2 ενός στοχευμένου χρήστη, το οποίο θα μπορούσε να αναμεταδοθεί σε έναν ευάλωτο διακομιστή Exchange σε ένα αναμετάδοση NTLM ή μια επίθεση pass-the-hash, η οποία θα επιτρέψτε στον εισβολέα να πραγματοποιήσει έλεγχο ταυτότητας ως στοχευόμενος χρήστης.”
Η ενημέρωση ασφαλείας επιλύει περαιτέρω 15 ελαττώματα απομακρυσμένης εκτέλεσης κώδικα στον πάροχο Microsoft WDAC OLE DB για SQL Server, τα οποία ένας εισβολέας θα μπορούσε να εκμεταλλευτεί εξαπατώντας έναν πιστοποιημένο χρήστη να προσπαθήσει να συνδεθεί σε έναν κακόβουλο διακομιστή SQL μέσω OLEDB.
Η στρογγυλοποίηση της ενημέρωσης κώδικα είναι μια λύση CVE-2023-50387 (Βαθμολογία CVSS: 7,5), ένα ελάττωμα σχεδιασμού 24 ετών στην προδιαγραφή DNSSEC που μπορεί να γίνει κατάχρηση για την εξάντληση των πόρων της CPU και τη διακοπή των αναλυτών DNS, με αποτέλεσμα την άρνηση παροχής υπηρεσιών (DoS).
Η ευπάθεια έχει την κωδική ονομασία KeyTrap από το Εθνικό Κέντρο Ερευνών για την Εφαρμοσμένη Κυβερνοασφάλεια (ATHENE) στο Darmstadt.
“[The researchers] απέδειξε ότι μόνο με ένα μόνο πακέτο DNS η επίθεση μπορεί να εξαντλήσει την CPU και να σταματήσει όλες τις ευρέως χρησιμοποιούμενες υλοποιήσεις DNS και τους δημόσιους παρόχους DNS, όπως το Google Public DNS και το Cloudflare”, ATHENE είπε. «Μάλιστα το λαϊκό Εφαρμογή BIND 9 DNS μπορεί να σταματήσει για έως και 16 ώρες.”
Επιδιορθώσεις λογισμικού από άλλους προμηθευτές
Εκτός από τη Microsoft, ενημερωμένες εκδόσεις ασφαλείας έχουν επίσης κυκλοφορήσει από άλλους προμηθευτές τις τελευταίες εβδομάδες για την αποκατάσταση αρκετών ευπαθειών, όπως —