W zeszły wtorek w cyklicznym programie wydawania łatek „Patch Tuesday” Microsoft udostępnił poprawki dla dwóch podatności klasy zero-day i aż czterdziestu innych luk w zabezpieczeniach. W dzisiejszym artykule opisujemy lukę pozwalającą na wykonanie kodu przez błąd w LDAP usługi Active Directory oraz ciekawe obejście załatanej wcześniej podatności do MS Outlook pozwalające uruchomić na komputerze kod bez ingerencji użytkownika.
Informacje o luce CVE-2023-29324
W pierwszej kolejności chcielibyśmy zwrócić szczególną uwagę na naprawioną przez Microsoft podatność CVE-2023-2932 dotyczącą błędu w platformie Windows MSHTML, który producent ocenia jako „ważny”.
Zespół badawczy Akamai i Ben Barnea, badacz, któremu przypisuje się znalezienie luki, nie zgadzają się z tą oceną, ponieważ „nowa luka (z przypisanym numerem CVE-2023-29324) ponownie umożliwia wykorzystanie krytycznej luki [CVE-2023-23397], której wykorzystanie zostało zaobserwowane na wolności przez operatorów APT”.
Przypominamy, że CVE-2023-23397 to błąd EoP w programie Microsoft Outlook, który może zostać wywołany bez interakcji użytkownika (inaczej „zero-click”). Podatność szczegółowo opisywaliśmy tutaj.
Za pomocą tego błędu atakujący mogą wysyłać specjalnie spreparowane wiadomości e-mail, powodujące połączenie ofiary z niezaufaną, kontrolowaną przez nich lokalizacją. Wywołuje to wyciek hashy Net-NTLMv2 ofiary do niezaufanej sieci, którą atakujący może następnie przekazać do innej usługi i uwierzytelnić się do niej jako ofiara.
Wiadomość e-mail nie musi być wyświetlana ani przeglądana przez użytkownika, aby exploit zadziałał – wystarczy, że zostanie pobrana i przetworzona przez klienta Outlooka.
Z drugiej strony CVE-2023-29324 jest definiowany jako luka umożliwiająca obejście funkcji bezpieczeństwa i według badaczy Akamai może nadal mieć takie same konsekwencje jak krytyczny oryginalny błąd programu Outlook.
Stwierdzili to, analizując poprawkę dla luki CVE-2023-23397, która rozwiązała problem, zmieniając przepływ kodu w programie Outlook tak, aby najpierw sprawdzał, czy ścieżka UNC, która pobiera niestandardowy plik dźwiękowy, odwołuje się do internetowego adresu URL, a jeśli tak, używa domyślnego dźwięku przypomnienia zamiast niestandardowego.
Niestety odkryli również, że to sprawdzenie (a co za tym idzie poprawkę) można łatwo obejść, dodając pojedynczy znak, który zmieni sposób, w jaki określona funkcja kategoryzuje strefę ścieżki UNC.
„Luka jest kolejnym przykładem analizowania łatek prowadzących do nowych luk i obejść” – zauważyli, dodając, iż mają nadzieję, że Microsoft całkowicie usunie niestandardową funkcję dźwięku przypomnienia, ponieważ jest ona bardziej niebezpieczna niż pomocna.
„Jest to powierzchnia ataku polegająca na analizowaniu multimediów za pomocą zerowego kliknięcia, która może potencjalnie zawierać krytyczne luki w zabezpieczeniach związane z uszkodzeniem pamięci. Biorąc pod uwagę wszechobecność systemu Windows, wyeliminowanie tak dojrzałej powierzchni ataku może mieć bardzo pozytywne skutki”.
Inne istotne poprawki
Drugą ciekawą luką, którą załatał Microsoft, jest błąd zero-day „podniesienia uprawnień” systemu Windows, cechujący się niską złożonością ataku, minimalnymi wymaganiami dotyczącymi uprawnień i brakiem wkładu użytkownika – CVE-2023-29336.
Przypominamy, że tego typu błąd może skutkować zdobyciem uprawnień administracyjnych lub na poziomie SYSTEMU, co może pozwolić atakującemu na wyłączenie narzędzi zabezpieczających i wdrożenie większej liczby narzędzi atakujących, takich jak Mimikatz, które pozwolą mu poruszać się po sieci i uzyskać trwałość.
Kolejna luka – CVE-2023-24941 – wpływa na sieciowy system plików Windows i może zostać wykorzystana przez sieć poprzez wysłanie starannie spreparowanego nieuwierzytelnionego żądania. Alert Microsoft zawiera również zalecenia dotyczące łagodzenia skutków. Podatność uzyskała aż 9,8 punktów w skali CVSS – to najpoważniejszy ze wszystkich błędów rozwiązanych w tym miesiącu.
Wykonanie kodu za pomocą błędu w LDAP w Active Directory
Ciekawą luką jest CVE-2023-28283, krytyczny błąd w protokole Windows Lightweight Directory Access Protocol (LDAP), umożliwiający nieuwierzytelnionemu atakującemu wykonanie kodu za pomocą specjalnie spreparowanego zestawu wywołań LDAP w celu wykonania dowolnego kodu w kontekście usługi LDAP.
Jego odkrywcą jest badacz Yuki Chen z Cyber KunLun, zaś producent nie publikuje żadnych szczegółów na ten temat. W sieci nie znaleźliśmy (jak na razie) żadnych exploitów.
Chociaż CVSS dla tej luki to 8.1, Microsoft ostrzega, że wykorzystanie błędu może być trudne i zawodne dla atakujących.
Oczywiście wykorzystaniu opisywanych wyżej luk można zapobiec, wdrażając poprawki. Aby uzyskać bardziej szczegółowe informacje, należy zapoznać się z poradami bezpieczeństwa Microsoft.