Вторник исправлений Microsoft за март 2023 года включает исправления для более чем 70 уязвимостей, включая недостатки нулевого дня в Outlook и Windows SmartScreen.
По данным исследователей Crowdstrike, 40 процентов исправленных уязвимостей представляют собой недостатки удаленного выполнения кода, по сравнению с 48 процентами в прошлом месяце; 31 процент — это недостатки повышения привилегий, по сравнению с почти 16 процентами в прошлом месяце; и 22 процента — недостатки раскрытия информации, по сравнению с 10 процентами в прошлом месяце.
Критический прогноз нулевого дня
Активно эксплуатируется угроза нулевого дня Outlook, CVE-2023-23397, с критической оценкой CVSS 9,8. «Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить доступ к хэшу Net-NTLMv2 пользователя, который может быть использован в качестве основы для атаки NTLM Relay на другой сервис для аутентификации пользователя», — пишет компания.
Microsoft предупредила: «Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданное электронное письмо, которое срабатывает автоматически, когда оно извлекается и обрабатывается клиентом Outlook. Это может привести к эксплойту ДО того, как электронное письмо будет просмотрено на панели предварительного просмотра».
Учитывая простоту эксплуатации, Microsoft также рекомендует следующие меры в дополнение к загрузке последних обновлений:
Добавьте пользователей в группу безопасности защищенных пользователей, что предотвращает использование NTLM в качестве механизма проверки подлинности. Выполнение этой меры по устранению неполадок упрощает устранение неполадок по сравнению с другими методами отключения NTLM. Рассмотрите возможность использования его для важных учетных записей, таких как администраторы домена, когда это возможно.
Блокируйте TCP 445/SMB, исходящие из вашей сети, с помощью брандмауэра периметра, локального брандмауэра и настроек VPN. Это предотвратит отправку сообщений проверки подлинности NTLM на удаленные общие файловые ресурсы.
Ознакомьтесь с лучшими безопасными решениями для шлюзов электронной почты
Значительная угроза
«Учитывая вектор сетевой атаки, повсеместное распространение SMB-ресурсов и отсутствие необходимости аутентификации пользователя, злоумышленник, имеющий подходящую плацдарм в сети, вполне может рассматривать эту уязвимость как главного кандидата на боковое перемещение», — ведущий инженер-программист Rapid7 Адам Барнетт. сказал.
Надежный старший инженер-исследователь Сатнам Наранг сообщил по электронной почте, что CVE-2023-23397, вероятно, станет одной из главных уязвимостей 2023 года, отметив, что исследователи MDSec уже разработали экспериментальный эксплойт для этой уязвимости, который не требует взаимодействия с пользователем. (скриншот ниже).
Эксплойт Outlook NTLM
«Кроме того, Microsoft подтвердила, что уязвимость использовалась как нулевой день в рамках ограниченных атак на правительственные, транспортные, энергетические и военные организации в Европе базирующейся в России злоумышленником», — сказал Наранг. «Исходя из простоты использования этой уязвимости, мы считаем, что внедрение ее в сценарии других участников угроз, включая группы вымогателей и их филиалы, — это лишь вопрос времени».
Читайте также: Защита от программ-вымогателей: как предотвратить атаки программ-вымогателей
SmartScreen Zero-Day
SmartScreen нулевого дня, CVE-2023-24880, также активно эксплуатируется, но имеет гораздо более низкий балл CVSS — 5,4. «Злоумышленник может создать вредоносный файл, который сможет обойти защиту Mark of the Web (MOTW), что приведет к ограниченной потере целостности и доступности функций безопасности, таких как защищенный просмотр в Microsoft Office, которые полагаются на теги MOTW», — пояснили в Microsoft.
«Эта ошибка означает, что некоторые файлы, поступающие извне, например загрузки или вложения электронной почты, не помечаются правильным идентификатором MOTW, поэтому они скрытно обходят официальные проверки безопасности Microsoft», — объяснил Пол Даклин из Sophos в своем блоге. пост об обновлениях.
«В общедоступном бюллетене Microsoft не говорится, какой именно тип файла (изображения? Документы Office? PDF-файлы? Все они?) могут быть проникнуты в вашу сеть таким образом, но очень широко предупреждает, что «функции безопасности, такие как защищенный просмотр в Microsoft Office «можно обойти с помощью этого трюка», — добавил Даклин.
Еще два критических недостатка
Вице-президент Action1 по исследованию уязвимостей и угроз Майк Уолтерс (Mike Walters) в своем блоге указал на два других критических недостатка. Первая, CVE-2023-23415, представляет собой уязвимость удаленного выполнения кода в протоколе управляющих сообщений Интернета (ICMP) с оценкой CVSS 9,8.
«Злоумышленник может использовать эту уязвимость для отправки низкоуровневой ошибки протокола, содержащей фрагментированный IP-пакет в заголовке другого пакета ICMP, на целевую машину», — отметил Уолтерс. «Чтобы активировать уязвимость, приложение на цели должно быть подключено к необработанному сокету. Эта уязвимость может привести к удаленному выполнению кода. Атака проста в исполнении и не требует каких-либо привилегий или взаимодействия с пользователем».
Вторая, CVE-2023-23392, представляет собой уязвимость удаленного выполнения кода в стеке протоколов HTTP, также с оценкой CVSS 9,8. «Злоумышленник, не прошедший проверку подлинности, может воспользоваться этой уязвимостью, отправив специально созданный пакет на целевой сервер, который использует стек протоколов HTTP (http.sys) для обработки пакетов», — заметил Уолтерс. «Это может привести к удаленному выполнению кода, что создает значительный риск для безопасности».
