Microsoft выпускает 80 патчей, в том числе два для эксплойтов нулевого дня

Компания Tenable указала, что четыре из этих уязвимостей были обнаружены GitHub.

По словам старшего инженера-исследователя Tenable Сатнама Наранга, из оставшихся 76 исправлений девять были оценены как критические, 66 — как важные и одно — как умеренное.

Два нулевых дня были идентифицированы по их номерам CVE как CVE-2023-23397 и CVE-2023-24880.

«В этом месяце Microsoft устранила две уязвимости нулевого дня, которые активно использовались злоумышленниками, в том числе уязвимость, связанную с повышением привилегий, и уязвимость обхода функций безопасности», — сказал Наранг.

«CVE-2023-23397 — это спуфинговая уязвимость в Microsoft Outlook, которая использовалась в реальных условиях. Хотя мы часто ищем уязвимости в Outlook, которые могут быть вызваны функциями панели предварительного просмотра программного обеспечения, злоумышленник может воспользоваться этой уязвимостью, просто отправив электронное письмо потенциальной цели.

«Это связано с тем, что уязвимость срабатывает на стороне сервера электронной почты, что означает, что эксплуатация произойдет до того, как жертва просмотрит вредоносное электронное письмо. Злоумышленник может использовать эту уязвимость для утечки хэша Net-NTLMv2 пользователя и проведения атаки NTLM Relay для аутентификации. обратно как пользователь.

«Примечательно, что эта уязвимость приписывается Украинской группе реагирования на компьютерные чрезвычайные ситуации (CERT-UA), что может означать, что она могла быть использована в дикой природе против украинских целей. Исследовательской группе Microsoft также приписывают обнаружение этой уязвимости. “

Наранг сказал о втором нулевом дне: «CVE-2023-24880 — это функция безопасности, обходящая функцию Windows SmartScreen, встроенную в Windows, которая работает с функцией Mark of the Web для пометки файлов, загруженных из Интернета.

«Он был использован в дикой природе и публично раскрыт до того, как патч был доступен. Злоумышленник может создать специально созданный файл, который использует эту уязвимость, что приводит к обходу функций безопасности MOTW, таких как Microsoft Office Protected View.

«Это было приписано как исследователям из Microsoft (Билл Демиркапи), так и группе анализа угроз Google (Бенуа Севенс и Влад Столяров)».

Майк Уолтерс, вице-президент по исследованию уязвимостей и угроз компании Action1, поставщика программного обеспечения для управления исправлениями с учетом рисков, сказал, что пользователи могут смягчить уязвимость Outlook, обновив приложение до последней версии.

«Если обновление невозможно, добавление привилегированных пользователей, таких как администраторы домена, в группу безопасности защищенных пользователей может помочь предотвратить использование NTLM в качестве механизма аутентификации», — добавил он.

«Блокировка TCP 445/SMB, исходящих из вашей сети через брандмауэры периметра, локальные брандмауэры и настройки VPN, также может помочь предотвратить отправку сообщений аутентификации NTLM на удаленные общие файловые ресурсы.

«Однако лучше всего установить обновление Microsoft на все системы после его тестирования в контролируемой среде».

Адам Барнетт, ведущий инженер-программист компании Rapid7, занимающейся безопасностью, отметил, что текущие версии Outlook, размещенные на собственном сервере, включая приложения Microsoft 365 для предприятий, уязвимы для CVE-2023-23397, но онлайн-сервисы, размещенные на Microsoft (например, Microsoft 365), уязвимы для CVE-2023-23397. не были уязвимы.