Компания Tenable указала, что четыре из этих уязвимостей были обнаружены GitHub.
По словам старшего инженера-исследователя Tenable Сатнама Наранга, из оставшихся 76 исправлений девять были оценены как критические, 66 — как важные и одно — как умеренное.
Два нулевых дня были идентифицированы по их номерам CVE как CVE-2023-23397 и CVE-2023-24880.
|
«В этом месяце Microsoft устранила две уязвимости нулевого дня, которые активно использовались злоумышленниками, в том числе уязвимость, связанную с повышением привилегий, и уязвимость обхода функций безопасности», — сказал Наранг.
«CVE-2023-23397 — это спуфинговая уязвимость в Microsoft Outlook, которая использовалась в реальных условиях. Хотя мы часто ищем уязвимости в Outlook, которые могут быть вызваны функциями панели предварительного просмотра программного обеспечения, злоумышленник может воспользоваться этой уязвимостью, просто отправив электронное письмо потенциальной цели.
«Это связано с тем, что уязвимость срабатывает на стороне сервера электронной почты, что означает, что эксплуатация произойдет до того, как жертва просмотрит вредоносное электронное письмо. Злоумышленник может использовать эту уязвимость для утечки хэша Net-NTLMv2 пользователя и проведения атаки NTLM Relay для аутентификации. обратно как пользователь.
«Примечательно, что эта уязвимость приписывается Украинской группе реагирования на компьютерные чрезвычайные ситуации (CERT-UA), что может означать, что она могла быть использована в дикой природе против украинских целей. Исследовательской группе Microsoft также приписывают обнаружение этой уязвимости. “
Наранг сказал о втором нулевом дне: «CVE-2023-24880 — это функция безопасности, обходящая функцию Windows SmartScreen, встроенную в Windows, которая работает с функцией Mark of the Web для пометки файлов, загруженных из Интернета.
«Он был использован в дикой природе и публично раскрыт до того, как патч был доступен. Злоумышленник может создать специально созданный файл, который использует эту уязвимость, что приводит к обходу функций безопасности MOTW, таких как Microsoft Office Protected View.
«Это было приписано как исследователям из Microsoft (Билл Демиркапи), так и группе анализа угроз Google (Бенуа Севенс и Влад Столяров)».
Майк Уолтерс, вице-президент по исследованию уязвимостей и угроз компании Action1, поставщика программного обеспечения для управления исправлениями с учетом рисков, сказал, что пользователи могут смягчить уязвимость Outlook, обновив приложение до последней версии.
«Если обновление невозможно, добавление привилегированных пользователей, таких как администраторы домена, в группу безопасности защищенных пользователей может помочь предотвратить использование NTLM в качестве механизма аутентификации», — добавил он.
«Блокировка TCP 445/SMB, исходящих из вашей сети через брандмауэры периметра, локальные брандмауэры и настройки VPN, также может помочь предотвратить отправку сообщений аутентификации NTLM на удаленные общие файловые ресурсы.
«Однако лучше всего установить обновление Microsoft на все системы после его тестирования в контролируемой среде».
Адам Барнетт, ведущий инженер-программист компании Rapid7, занимающейся безопасностью, отметил, что текущие версии Outlook, размещенные на собственном сервере, включая приложения Microsoft 365 для предприятий, уязвимы для CVE-2023-23397, но онлайн-сервисы, размещенные на Microsoft (например, Microsoft 365), уязвимы для CVE-2023-23397. не были уязвимы.
Читать полную новость на сайте