Η Microsoft va publicar actualitzacions de seguretat per al mes d'abril de 2024 per arreglar un registre 149 defectes , dos dels quals s'han explotat activament a la natura.
Dels 149 defectes, tres es classifiquen com a crítics, 142 es consideren importants, tres es classifiquen com a moderats i un es qualifica de gravetat baixa. L'actualització està fora de dubte 21 vulnerabilitats s'enfronta l'empresa al seu navegador Edge basat en Chromium després del llançament de correccions de pedaços del dimarts de març de 2024 .
Les dues deficiències que s'han explotat activament són les següents:
- CVE-2024-26234 (puntuació CVSS: 6,7) – Vulnerabilitat de suplantació del controlador intermediari
- CVE-2024-29988 (puntuació CVSS: 8,8) – Les funcions de seguretat de SmartScreen Prompt eviten la vulnerabilitat
Tot i que l'avís de Microsoft no proporciona informació sobre el CVE-2024-26234, la ciberempresaseguretatSophos va dir que va descobrir el desembre de 2023 un executable maliciós ("Catalog.exe" o "Servei de client d'autenticació de catàleg") que és signat d'un editor de compatibilitat de maquinari de Microsoft Windows vàlid ( WHCP ) certificat.
L'anàlisi Authenticode del binari va revelar l'editor sol·licitant original a Hainan YouHu Technology Co. Ltd, que també és l'editor d'una altra eina anomenada LaiXi Android Screen Mirroring.
Aquest últim es descriu com "un programari de màrqueting... [que] pot connectar centenars de telèfons mòbils i controlar-los per lots i automatitzar tasques com ara el seguiment de grups, els m'agrada i els comentaris".
Dins del suposat servei d'autenticació hi ha un component anomenat 3 proxy que està dissenyat per supervisar i interceptar el trànsit de xarxa en un sistema infectat, actuant eficaçment com a porta posterior.
"No tenim cap evidència que suggereixi que els desenvolupadors de LaiXi van integrar intencionadament el fitxer maliciós al seu producte, o que un actor d'amenaça va dur a terme un atac a la cadena de subministrament per injectar-lo al procés de creació/construcció de l'aplicació LaiXi". va afirmar Andreas Klopsch, investigador de Sophos. .
L'empresa de ciberseguretat també va dir que va descobrir diverses altres variants de la porta del darrere en estat salvatge el 5 de gener de 2023, cosa que indica que la campanya s'ha desenvolupat almenys des d'aleshores. Des de llavors, Microsoft ha afegit els fitxers rellevants a la seva llista de recuperació.
"Per aprofitar aquesta vulnerabilitat per evitar aquesta característica de seguretat, un atacant hauria de convèncer un usuari perquè llanci fitxers maliciosos mitjançant un llançador que sol·liciti que no es mostri cap interfície d'usuari", va dir Microsoft.
"En un escenari d'atac per correu electrònic o missatgeria instantània, un atacant podria enviar a l'usuari objectiu un fitxer especialment dissenyat per explotar la vulnerabilitat d'execució de codi remota".
La iniciativa Zero Day revelat que hi ha proves d'explotació del defecte en estat salvatge, tot i que Microsoft l'ha marcat amb una qualificació d'"Explotació més probable".
Un altre tema important és la vulnerabilitat CVE-2024-29990 (puntuació CVSS: 9.0), una fallada d'elevació de privilegis que afecta el Microsoft Azure Kubernetes Service Container Confidential que podria ser explotat per atacants no autenticats per robar credencials.
"Un atacant pot accedir al node AKS Kubernetes i al contenidor confidencial d'AKS per fer-se càrrec de convidats i contenidors confidencials més enllà de la pila de xarxa a la qual poden estar vinculats", va dir Redmond.
En general, el llançament destaca per abordar fins a 68 execucions de codi remot, 31 escalades de privilegis, 26 omissions de funcions de seguretat i sis errors de denegació de servei (DoS). Curiosament, 24 dels 26 errors de bypass de seguretat estan relacionats amb l'arrencada segura.
“Tot i que cap d'aquestes vulnerabilitats Arranjament segur abordats aquest mes no es van explotar en estat salvatge, serveixen com a recordatori que encara existeixen defectes a Secure Boot i podríem veure més activitat maliciosa relacionada amb Secure Boot en el futur", va dir Satnam Narang, enginyer d'investigació sènior de Tenable. una declaració.
La revelació arriba tal com ho ha fet Microsoft enfrontar-se a les crítiques sobre les seves pràctiques de seguretat, amb un informe recent de la Junta de Revisió Ciberseguretat(CSRB) cridant a l'empresa per no fer prou per evitar una campanya d'espionatge cibernètic orquestrada per un actor d'amenaces xinès rastrejat com Storm. -0558 l'any passat.
També segueix la decisió de l'empresa publicar dades de la causa arrel per detectar errors de seguretat mitjançant l'estàndard de la indústria Common Weakness Enumeration (CWE). No obstant això, val la pena assenyalar que els canvis només s'apliquen a partir dels avisos publicats a partir del març de 2024.
"Afegir avaluacions CWE a l'assessorament de seguretat de Microsoft ajuda a identificar la causa arrel general d'una vulnerabilitat", va dir Adam Barnett, enginyer de programari principal de Rapid7, en un comunicat compartit amb The Hacker News.
"El programa CWE ha actualitzat recentment les seves orientacions mapejar CVE a una causa arrel de CWE . L'anàlisi de les tendències de CWE pot ajudar els desenvolupadors a reduir les incidències futures mitjançant fluxos de treball i proves millorats del Cicle de Vida del Desenvolupament de Programari (SDLC), així com ajudar els defensors a entendre cap a on dirigir els esforços de defensa en profunditat i endurir el desenvolupament per obtenir un millor retorn de la inversió".
En un desenvolupament relacionat, l'empresa de ciberseguretat Varonis va exposar dos mètodes que els atacants podrien adoptar per evitar els registres d'auditoria i evitar activar esdeveniments de descàrrega quan s'exporten fitxers de SharePoint.
El primer enfocament aprofita la funció "Obre a l'aplicació" de SharePoint per accedir i descarregar fitxers, mentre que el segon utilitza l'agent d'usuari de Microsoft SkyDriveSync per descarregar fitxers o fins i tot llocs sencers, classificant erròniament aquests esdeveniments com a sincronització de fitxers en lloc de descàrregues.
"Aquestes tècniques poden evitar les polítiques de detecció i aplicació de les eines tradicionals, com ara els corredors de seguretat d'accés al núvol, la prevenció de pèrdues de dades i els SIEM, dissimulant les descàrregues com a esdeveniments d'accés i sincronització menys sospitosos". Ell va dir Eric Saraga.
Correccions de programari de tercers
A més de Microsoft, altres proveïdors també han publicat actualitzacions de seguretat durant les últimes setmanes per solucionar diverses vulnerabilitats, com ara:
- Adobe
- AMD
- Android
- Apache XML Security per a C++
- Xarxes d'Aruba
- Atos
- Bosch
- Cisco
- D-Link
- Dell
- drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Chrome
- Google Cloud
- Google Pixel
- HIKVISION
- Hitachi Energy
- HP
- HP Enterprise
- HTTP / 2
- IBM
- Ivanta
- Jenkins
- Lenovo
- LG webOS
- Distribucions de Linux Debian, Oracle Linux, Red Hat, SUSEi Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR i Thunderbird
- NETGEAR
- NVIDIA
- Qualcomm
- Rockwell Automation
- Rovell
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- VMware
- WordPress
- zoom
