Microsoft и Fortinet исправляют ошибки при активном использовании • The Register

Вторник обновлений Мартовский вторник обновлений Microsoft включает новые исправления для 74 ошибок, две из которых уже активно используются, а девять оценены как критические. Начнем с двух, которые злоумышленники обнаружили до того, как Редмонд выпустил исправление.

Прежде всего: установите приоритет исправления CVE-2023-23397, ошибки повышения привилегий в Microsoft Outlook, получившей оценку 9,8 из 10 CVSS. Хотя детали этой дыры не были публично раскрыты, как нам сообщили, злоумышленники в России уже активно использовали ее против правительственного, энергетического и военного секторов в Европе. Microsoft оценивает сложность атаки как «низкую».

Редмонд настолько обеспокоен этим, что опубликовал руководство по ошибке, а также предоставил документацию и сценарий, чтобы определить, стал ли ваш бизнес объектом нападения преступников, пытающихся использовать эту уязвимость. Другими словами: это серьезно.

CVE позволяет удаленному злоумышленнику, не прошедшему аутентификацию, получить доступ к хешу Net-NTLMv2 жертвы, отправив специальное электронное письмо в скомпрометированную систему, а затем использовать хеш для аутентификации злоумышленника.

«Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданное электронное письмо, которое автоматически активируется при его получении и обработке клиентом Outlook», — пояснили в Microsoft. «Это может привести к эксплуатации ДО того, как электронное письмо будет просмотрено на панели предварительного просмотра».

Хотя Microsoft не предоставляет никаких подробностей о том, какие гнусные действия совершают злоумышленники после использования ошибки, а также о том, насколько широко распространены атаки, Дастин Чайлдс из Zero Day Initiative советует: «Обязательно протестируйте и быстро разверните это исправление».

Что касается того, кто в первую очередь злоупотреблял недостатком безопасности, Microsoft указала пальцем на кого-то в России, осуществляющего «целевые атаки на ограниченное число организаций в правительственном, транспортном, энергетическом и военном секторах Европы».

Об уязвимости ИТ-гиганту сообщил украинский CERT, а также внутренние группы по разведке и исследованию угроз производителя Windows.

Вторая ошибка активного эксплойта общеизвестна и связана с аналогичной уязвимостью CVE-2022-44698, которую Microsoft исправила в декабре 2022 года.

Эта новая уязвимость, CVE-2023-24880, представляет собой ошибку обхода функции безопасности Windows SmartScreen и позволяет злоумышленникам создавать вредоносные файлы, которые могут обойти функции безопасности Mark of the Web. Несмотря на то, что его рейтинг всего 5,4 из 10, его уже используют мошенники, требующие выкуп. Помните, дорогой читатель: CVSS — это всего лишь число, которое не указывает на реальные риски.

Группа анализа угроз Google (TAG) первой обнаружила эту проблему и заявила, что она используется для доставки программы-вымогателя Magniber. На сегодняшний день команда TAG задокументировала более 100 000 загрузок, в основном в Европе, поэтому, хотя эта уязвимость получила только CVSS 5.4, если вы не хотите иметь дело с зашифрованными системами и вымогательством, исправьте это сейчас.

Из других уязвимостей с критическим рейтингом: следующим мы предлагаем исправить CVE-2023-23392, ошибку удаленного выполнения кода (RCE) стека протокола HTTP 9,8 с рейтингом CVSS. Это влияет на Windows 11 и Windows Server 2022.

По данным Microsoft, удаленный злоумышленник, не прошедший проверку подлинности, может воспользоваться этой уязвимостью, отправив специально созданный пакет на целевой сервер, использующий стек протоколов HTTP (http.sys). Затем злоумышленник сможет выполнить код на уровне СИСТЕМЫ без какого-либо взаимодействия с пользователем.

«Такая комбинация делает эту ошибку возможной для проникновения — по крайней мере, через системы, соответствующие целевым требованиям», — отметил Чайлдс.

CVE-2023-23415 — еще одна критическая ошибка RCE с рейтингом 9,8, которая, по словам Чайлдса, также потенциально опасна для червей. Это результат ошибки в протоколе управляющих сообщений Интернета (ICMP).

«Злоумышленник может отправить на целевую машину ошибку протокола низкого уровня, содержащую фрагментированный IP-пакет внутри другого ICMP-пакета в заголовке», — пояснили в Microsoft. «Чтобы активировать уязвимый путь кода, приложение на цели должно быть привязано к необработанному сокету».