tillbaka till toppen
Tisdagen den 7 maj 2024
hemDatorerMicrosoft fixar 149 brister i massiv patch-release av...
DatorerSäkerhet

Microsoft fixar 149 brister i aprils massiva patch-release

By Marizas Dimitris
0

Η släppte säkerhetsuppdateringar för april månad 2024 för att fixa ett rekord 149 defekter , varav två har exploateras aktivt i naturen.

Av de 149 defekterna är tre klassificerade som kritiska, 142 är klassade som viktiga, tre är klassade som måttliga och en är klassad som låg svårighetsgrad. Uppdateringen är utesluten 21 sårbarheter möttes av företaget i sin Chromium-baserade Edge-webbläsare efter lanseringen av av mars tisdag 2024 patchfixar .

De två bristerna som aktivt har utnyttjats är följande –

  • CVE-2024-26234 (CVSS-poäng: 6,7) – Sårbarhet för spoofing av proxy-drivrutiner
  • CVE-2024-29988 (CVSS-poäng: 8,8) – SmartScreen Prompt-säkerhetsfunktioner kringgår sårbarhet

Även om Microsofts råd inte tillhandahåller information om -2024-26234, cyberföretagetSophos sa att de upptäckte i december 2023 en skadlig körbar fil ("Catalog.exe" eller "Catalog Authentication Client Service") som är signerad från en giltig Microsoft Windows-maskinvarukompatibilitetsutgivare ( WHCP ) certifikat.

Authenticod-analysen av binären avslöjade den ursprungliga begärande utgivaren till Hainan YouHu Technology Co. Ltd, som också är utgivare av ett annat verktyg som heter LaiXi Android Screen Mirroring.

Det sistnämnda beskrivs som "en marknadsföringsprogramvara ... [som] kan koppla ihop hundratals mobiltelefoner och kontrollera dem i omgångar och automatisera uppgifter som att följa grupp, gilla och kommentera".

Inom den förmodade autentiseringstjänsten finns en komponent som kallas 3 proxy som är utformad för att övervaka och avlyssna nätverkstrafik på ett infekterat system, och fungerar effektivt som en bakdörr.

"Vi har inga bevis som tyder på att LaiXi-utvecklarna avsiktligt integrerat den skadliga filen i sin produkt, eller att en hotaktör genomförde en supply chain-attack för att injicera den i LaiXi-applikationens bygg-/byggprocess." uppgav han Sophos-forskaren Andreas Klopsch. .

Cybersäkerhetsföretaget sa också att det upptäckt flera andra varianter av bakdörren i naturen senast den 5 januari 2023, vilket indikerar att kampanjen har pågått sedan åtminstone dess. Microsoft har sedan lagt till relevanta filer till sin återkallelselista.

Den andra säkerhetsbristen som enligt uppgift har attackerats aktivt är CVE-2024-29988, som – som CVE-2024-21412 och CVE-2023-36025– tillåter angripare att kringgå Microsoft Defenders Smartscreen-skydd när de öppnar en specialgjord fil.

"För att utnyttja den här säkerhetsfunktionen kringgå sårbarheten måste en angripare övertyga en användare att starta skadliga filer med hjälp av en startprogram som begär att inget användargränssnitt ska visas", sa Microsoft.

"I ett e-post- eller snabbmeddelandeattackscenario kan en angripare skicka den riktade användaren en specialgjord fil utformad för att utnyttja sårbarheten för fjärrkörning av kod."

Zero Day Initiative avslöjat att det finns bevis för utnyttjande av felet i det vilda, även om Microsoft har flaggat för det med betyget "Most Sannolikt Exploatering".

En annan viktig fråga är sårbarhet CVE-2024-29990 (CVSS-poäng: 9.0), en höjning av behörighetsbristen som påverkar Microsoft Azure Kubernetes Service Container Confidential som kan utnyttjas av oautentiserade angripare för att stjäla referenser.

"En angripare kan komma åt den opålitliga AKS Kubernetes-noden och AKS Confidential Container för att ta över konfidentiella gäster och containrar bortom nätverksstacken de kan vara bundna till", sa Redmond.

Sammantaget är utgåvan känd för att adressera upp till 68 fjärrexekvering av kod, 31 privilegieskalering, 26 förbikopplingar av säkerhetsfunktioner och sex denial-of-service (DoS) buggar. Intressant nog är 24 av de 26 säkerhetsbypass-felen relaterade till säker start.

"Medan ingen av dessa sårbarheter som behandlades den här månaden inte utnyttjades i det vilda, tjänar som en påminnelse om att brister i Secure Boot fortfarande finns, och vi skulle kunna se mer Secure Boot-relaterad skadlig aktivitet i framtiden, säger Satnam Narang, senior forskningsingenjör vid Tenable i ett påstående.

Avslöjandet kommer som Microsoft har gjort möta kritik om dess säkerhetspraxis, med en färsk rapport från Board of Review (CSRB) kallar företaget för att inte göra tillräckligt för att förhindra en cyberspionagekampanj anordnad av en kinesisk hotaktör som spåras som Storm. -0558 förra året.

Det följer också bolagets beslut att publicera rotorsaksdata för säkerhetsbrister genom att använda industristandarden Common Weakness Enumeration (CWE). Det är dock värt att notera att ändringarna endast gäller från och med råd som publiceras från mars 2024.

"Att lägga till CWE-bedömningar i Microsofts säkerhetsrådgivning hjälper till att identifiera den övergripande grundorsaken till en sårbarhet", säger Adam Barnett, ledande mjukvaruingenjör på Rapid7, i ett uttalande som delas med The Hacker News.

"CWE-programmet uppdaterade nyligen sin vägledning om mappa CVE till en CWE-grundorsak . Att analysera CWE-trender kan hjälpa utvecklare att minska framtida händelser genom förbättrade mjukvaruutvecklingslivscykel (SDLC)-arbetsflöden och testning, samt hjälpa försvarare att förstå vart de ska rikta försvarsinsatser på djupet och hårdnande utveckling för bättre avkastning på investeringen."

I en relaterad utveckling avslöjade cybersäkerhetsföretaget Varonis två metoder som angripare kan använda för att kringgå granskningsloggar och undvika att utlösa nedladdningshändelser vid export av filer från SharePoint.

Det första tillvägagångssättet drar fördel av SharePoints "Öppna i app"-funktion för att komma åt och ladda ner filer, medan det andra använder användaragenten för Microsoft SkyDriveSync för att ladda ner filer eller till och med hela webbplatser, och felklassificerar sådana händelser som filsynkronisering istället för nedladdningar.

Microsoft, som gjordes medvetet om problemen i november 2023, har ännu inte släppt en fix, även om de har lagts till i det väntande patchschemat. Under tiden rekommenderas organisationer att noggrant övervaka granskningsloggar för misstänkta åtkomsthändelser, särskilt de som involverar stora volymer filnedladdningar inom en kort tidsperiod.

"Dessa tekniker kan kringgå detekterings- och tillämpningspolicyn för traditionella verktyg, såsom säkerhetsmäklare för molnåtkomst, förebyggande av dataförlust och SIEM:er, genom att dölja nedladdningar som mindre misstänkta åtkomst- och synkroniseringshändelser." han sa Erik Saraga.

Programfixar från tredje part

Förutom Microsoft har säkerhetsuppdateringar också släppts av andra leverantörer under de senaste veckorna för att åtgärda flera sårbarheter, inklusive:

Föregående artikel
Apple iPhone 16 Plus: Förväntas komma i sju färger
Nästa artikel
Taiwan: Regionens starkaste jordbävning på 25 år - Video
Marizas Dimitris
Marizas Dimitrishttps://www.techwar.gr
Dimitris är en hängiven fan av Samsungs mobiltelefoner och har utvecklat en speciell relation till företagets produkter och uppskattar designen, prestandan och innovationen de erbjuder. Att skriva och läsa tekniska nyheter från hela världen.
RELATERADE ARTIKLAR

LÄMNA ETT SVAR

skriv in din kommentar!
vänligen ange ditt namn här

Mest populär

Ladda mer

Senaste artiklarna

Ladda mer

REDAKTÖRENS URVAL

ÖVRIGA Slumpmässiga ARTIKLAR

populär kategori

OM OSS

TechWar.gr är en av de snabbast växande teknikwebbplatserna. Varje dag får den tusentals besök från läsare för deras information om teknikfrågor.
• Email: [e-postskyddad]
Telefon: +30 6980 730 713
Copyright © 2024 | TechWar.gr | Ett projekt av: Dimitris Marizas
Logotyper, varumärken, varumärken och varumärken tillhör deras rättmätiga ägare.

FÖLJ OSS

© Ett projekt av: Dimitris Marizas