Согласно исследованию Crowdstrike, 40% процентов исправленных уязвимостей – это уязвимости удаленного выполнения кода, что меньше, чем 48% процентов в прошлом месяце; 31% процент – это уязвимости повышения привилегий, что больше, чем почти на 16% процентов в прошлом месяце; и 22% процента – это уязвимости раскрытия информации, что больше, чем 10% процентов в прошлом месяце.
Критический нулевой день Outlook
Активно эксплуатируется нулевой день Outlook, CVE-2023-23397, с критической оценкой CVSS 9,8. «Злоумышленник, успешно эксплуатирующий эту уязвимость, может получить доступ к хэшу Net-NTLMv2 пользователя, который может быть использован в качестве основы для атаки NTLM Relay против другой службы для аутентификации в качестве пользователя», – пишет компания.
Microsoft предупреждает: «Злоумышленник может использовать эту уязвимость, отправив специально созданное письмо, которое срабатывает автоматически, когда оно получено и обработано клиентом Outlook. Это может привести к эксплуатации до того, как письмо будет просмотрено в панели предварительного просмотра.»
Учитывая легкость эксплуатации, Microsoft также рекомендует следующие меры по устранению уязвимости в дополнение к загрузке последних обновлений:
- Добавьте пользователей в группу безопасности «Защищенные пользователи», которая предотвращает использование NTLM в качестве механизма аутентификации. Выполнение этой меры упрощает поиск и устраненяет проблему по сравнению с другими методами отключения NTLM. Рассмотрите возможность использования этой группы для высокоценных учетных записей, таких как администраторы домена, когда это возможно.
- Блокируйте TCP 445/SMB исходящий из вашей сети с помощью пограничного брандмауэра, локального брандмауэра и через настройки VPN. Это предотвратит отправку сообщений аутентификации NTLM на удаленные файловые ресурсы.
Значительная угроза
«Учитывая вектор сетевой атаки, повсеместное распространение общих ресурсов SMB и отсутствие необходимости аутентификации пользователя, злоумышленник, имеющий подходящий плацдарм в сети, вполне может рассматривать эту уязвимость в качестве основного кандидата для латерального перемещения», – сказал ведущий инженер-программист Rapid7 Адам Барнетт.
Старший инженер-исследователь компании Tenable Сатнам Наранг по электронной почте сообщил, что CVE-2023-23397, вероятно, станет одной из главных уязвимостей 2023 года, отметив, что компания MDSec уже разработала пробный эксплойт для этой уязвимости, который не требует вмешательства пользователя.
Кроме того, Microsoft подтвердила, что эта проблема был использована в нулевой день в рамках ограниченных атак на правительственные, транспортные, энергетические и военные объекты в Европе, которые проводились российскими хакерами», – сказал Наранг. «Основываясь на простоту эксплуатации этой уязвимости, мы считаем, что это лишь вопрос времени, когда она войдет в сценарии других угроз, включая группы разработчиков вымогательского ПО и их филиалы.
Нулевой день SmartScreen
Нулевой день SmartScreen, CVE-2023-24880, также активно эксплуатируется, но имеет гораздо более низкую оценку CVSS – 5,4. «Злоумышленник может создать вредоносный файл, который обойдет защиту, что приведет к ограниченной потере целостности и доступности функций безопасности, таких как Protected View в Microsoft Office, которые полагаются на теги MOTW», – пояснили в Microsoft.
Эта ошибка означает, что некоторые файлы, поступающие извне – например, загруженные или вложенные по электронной почте – не помечаются правильным идентификатором MOTW, поэтому они незаметно обходят официальные проверки безопасности Microsoft
- пояснил Пол Даклин из Sophos в статье запись в блоге
Еще два критические уязвимости
Вице-президент компании Action1 по исследованию уязвимостей и угроз Майк Уолтерс рассказал в блоге о двух других критических уязвимостях. Первая, CVE-2023-23415, представляет собой уязвимость удаленного выполнения кода в протоколе Internet Control Message Protocol (ICMP) с оценкой CVSS 9,8.
Злоумышленник может использовать этот недостаток для отправки на целевую машину низкоуровневой протокольной ошибки, содержащей фрагментированный IP-пакет внутри другого заголовка ICMP-пакета. Чтобы активировать уязвимость, приложение на целевой машине должно быть подключено к необработанному сокету. Эта уязвимость может привести к удаленному выполнению кода. Атака проста в исполнении и не требует никаких привилегий или взаимодействия с пользователем.
Вторая уязвимость, CVE-2023-23392, – уязвимость удаленного выполнения кода в стеке протокола HTTP, также имеет оценку CVSS 9,8. «Неавторизованный злоумышленник может использовать эту уязвимость, отправив специально созданный пакет на целевой сервер, использующий стек протокола HTTP (http.sys) для обработки пакетов. Это может привести к удаленному выполнению кода, представляя собой значительный риск для безопасности.
Комментарии (0)