Krytyczne poprawki dla Microsoft Windows, SharePoint i Exchange. Łatajcie systemy!

Zaczynamy od opisania najważniejszych podatności i jak zwykle radzimy, by załatać je jak najszybciej.

CVE-2023-3079 – poprawka na lukę w Chromium

Microsoft naprawił zidentyfikowaną wcześniej w przeglądarce Chrome podatność CVE-2023-3079, lukę w zabezpieczeniach silnika JavaScript V8 Chromium, która została wykorzystana przez atakujących w celu zaatakowania użytkowników tej przeglądarki. Ponieważ Microsoft Edge jest oparta na bazie kodów open source Chromium, 6 czerwca Microsoft wypuścił łatkę także dla swojej przeglądarki, a towarzysząca jej porada została opublikowana we wtorek.

CVE-2023-32031 – RCE w Microsoft Exchange Server (2016 i 2019)

Osoba atakująca musi zostać uwierzytelniona, aby wykorzystać tę lukę. Jeśli to wymaganie zostanie spełnione, może ona podjąć próbę uruchomienia złośliwego kodu w kontekście konta serwera za pośrednictwem wywołania sieciowego. Z uwagi na niską złożoność ataku i potrzebne do niego niewielkie uprawnienia, a także brak interakcji użytkownika zalecamy załatanie luk CVE-2023-32031 oraz CVE-2023-28310 w ciągu 24 godzin, w celu uniknięcia wykorzystania ich przez atakujących.

CVE-2023-29357 – EoP w Microsoft SharePoint

To krytyczna luka umożliwiająca podniesienie uprawnień (EoP) w programie Microsoft SharePoint Server 2019. Wymaga z pewnością natychmiastowego załatania. Podatność odkrył badacz pracujący w programie Zero Day Initiative w Trend Micro.

Błąd jest jedną z podatności połączonych podczas konkursu Pwn2Own Vancouver, który odbył się w marcu. Występuje w metodzie ValidateTokenIssuer, która pozwala ominąć mechanizm uwierzytelniania.

Atakujący, który uzyska dostęp do sfałszowanych tokenów uwierzytelniających JWT, może następnie użyć ich do przeprowadzenia ataku sieciowego omijającego uwierzytelnianie i umożliwiającego uzyskanie dostępu do uprawnień uwierzytelnionego użytkownika. Haker nie potrzebuje żadnych uprawnień, a użytkownik nie musi wykonywać żadnych działań.

Eksfiltracja poufnych informacji jest priorytetem zarówno dla podmiotów przestępczych, jak i szpiegów państwowych. W związku z tym prawdopodobne jest masowe wykorzystywanie publicznych instancji programu SharePoint w niedalekiej przyszłości. Ponadto aktor wykorzysta tę lukę zapewne wkrótce po uzyskaniu dostępu do danego wewnętrznego systemu korporacyjnego, co skraca czas na reakcję przed kradzieżą danych.

Uwaga! Klienci z instancją Sharepoint onprem (lokalna), którzy włączyli funkcję AMSI, są chronieni przed tą luką. Wszyscy inni powinni zainstalować łatkę w ciągu 24 godzin, aby uniknąć ataku.

Luki w Windows

Nowe trzy różne luki w zabezpieczeniach CVE-2023-29363, CVE-2023-32014, CVE-2023-32015 mające wpływ na protokół Windows Pragmatic General Multicast (PGM) zainstalowany z usługą kolejkowania wiadomości (MSMQ) mogą umożliwić zdalnemu, nieuwierzytelnionemu atakującemu wykonanie kodu w zagrożonym systemie.

PGM nie jest domyślnie włączony, ale nie jest też rzadką konfiguracją.

Podsumowanie

Opisane wyżej luki, w szczególności dla Microsoft w Exchange i Sharepoint, zostały ocenione jako ważne, a prawdopodobieństwo ich wykorzystania jest większe niż w przypadku niektórych innych luk naprawionych w tym miesiącu.

W przeciwieństwie do poprzednich luk Microsoft Exchange Server, które były oceniane wyżej i nie wymagały uwierzytelniania, te konkretne wymagają uwierzytelnienia osoby atakującej. Cyberprzestępcy mogą je potencjalnie wykorzystać, jeśli będą w stanie uzyskać prawidłowe dane uwierzytelniające, co oczywiście, jak wiemy z wcześniejszych artykułów na Kapitanie, nie jest aż tak trudne do osiągnięcia.

Mamy nadzieję, że administratorzy w firmach w miarę szybko zaktualizują systemy, zanim rozpocznie się jakakolwiek aktywna eksploitacja.