Jak w każdy drugi wtorek miesiąca, Microsoft w ramach programu Patch Tuesday opublikował listę nowych aktualizacji. Tym razem znalazło się na niej aż osiemdziesiąt siedem załatanych podatności, w tym dwie aktywnie wykorzystywane oraz dwadzieścia trzy luki umożliwiające zdalne wykonanie kodu.
Podczas gdy dwadzieścia trzy błędy RCE zostały naprawione, Microsoft ocenił tylko sześć z nich jako krytyczne.
Poniżej przedstawiamy podział luk ze względu na ich rodzaj:
- 18 luk w zabezpieczeniach podniesienia uprawnień,
- 3 luki w zabezpieczeniach funkcji obejścia,
- 23 luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu,
- 10 luk w zabezpieczeniach związane z ujawnianiem informacji,
- 8 luk w zabezpieczeniach typu „odmowa usługi”,
- 12 luk w zabezpieczeniach związanych z fałszowaniem.
Najważniejsza luka – CVE-2023-35385
W systemie Microsoft Windows została odkryta podatność sklasyfikowana jako bardzo krytyczna. Problemem dotknięta jest nieznana funkcja w komponencie Message Queuing. Manipulacja prowadzi do zdalnego wykonania kodu. Informacja o podatności została opublikowana ósmego sierpnia w formie Security Guidance – poradnik jest dostępny pod adresem portal.msrc.microsoft.com. Luka otrzymała numer CVE-2023-35385. Możliwe jest zdalne przeprowadzenie ataku. Nie są dostępne żadne szczegóły techniczne, nie ma też dostępnego exploita, ale struktura podatności definiuje w tej chwili możliwy przedział cenowy od 5 do 25 tys. USD. Według danych portalu vuldb.com szacowana cena za wykonanie 0day to około 25 000–100 000 USD.
Dwie aktywnie wykorzystywane luki Zeroday:
1) ADV230003 – szczegółowa aktualizacja programu Microsoft Office Defense (ujawniona publicznie) i Exchange Server
Microsoft wydał aktualizację Office Defense in Depth, aby naprawić poprawkę omijającą wcześniej złagodzoną i aktywnie wykorzystywaną lukę zdalnego wykonywania kodu CVE-2023-36884, o której pisaliśmy tutaj.
dokumentów pakietu Microsoft Office, które mogą ominąć funkcję zabezpieczeń Mark of the Web (MotW), powodując otwieranie plików bez wyświetlania ostrzeżenia o zabezpieczeniach, a także zdalne wykonanie kodu.
Luka była aktywnie wykorzystywana przez grupę hakerską RomCom, znaną wcześniej z wykorzystywania oprogramowania ransomware Industrial Spy w atakach. Od tego czasu operacja ransomware została przemianowana na „Underground”, a w ramach tej przestępcy nadal wyłudzają pieniądze.
Podatność została odkryta przez Paula Rascagneresa i Toma Lancastera z Volexity.
2) CVE-2023-38180 – luka w zabezpieczeniach .NET i Visual Studio związana z odmową usługi
Microsoft naprawił aktywnie wykorzystywaną lukę, która może powodować atak DoS na aplikacje .NET i Visual Studio. Niestety nie udostępnił żadnych dodatkowych szczegółów na temat wykorzystania tej luki w atakach ani nie ujawnił, kto ją odkrył.
Dostępna jest aktualizacja „Defense in Depth Update” pakietu Microsoft Office, która według firmy zatrzymuje łańcuch ataków prowadzący do CVE-2023-36884, luki w zabezpieczeniach Windows Search RCE, wcześniej wykorzystywanej przez rosyjskich hakerów w atakach ukierunkowanych.
Inne luki:
CVE-2023-21709 – podniesienie uprawnień w Microsoft Exchange
Dustin Childs, szef działu świadomości zagrożeń w programie Zero Day Initiative firmy Trend Micro, twierdzi, że chociaż CVE-2023-21709 otrzymała ocenę „ważna”, należy uznać ją za krytyczną.
„Luka umożliwia zdalnemu, nieuwierzytelnionemu atakującemu zalogowanie się jako inny użytkownik. W tym przypadku przechodzisz od braku uprawnień do możliwości uwierzytelnienia na serwerze, co sprawia, że wszystkie te exploity po uwierzytelnieniu […] są wykonalne” – zauważa.
„Aby rozwiązać problem CVE-2023-21709, administratorzy muszą wykonać dodatkowe czynności i mogą uruchomić wydany przez nas skrypt CVE-2023-21709.ps1” – informuje zespół Microsoft Exchange.
Luki w Microsoft Teams
Dwie luki posiadające oznaczenie CVE-2023-29328 i CVE-2023-29330 mają wpływać na bezpieczeństwo Microsoft Teams. Mogą zostać wykorzystane przez atakującego po przekonaniu ofiary do dołączenia do spotkania w Teams.
Microsoft oczywiście nie mówi, w jaki sposób można wykorzystać błędy, ale twierdzi, że mogą one pozwolić nieuprzywilejowanemu atakującemu na zdalne wykonanie kodu w kontekście użytkownika-ofiary, dostęp do informacji ofiary i ich zmianę oraz potencjalnie spowodować przestój maszyny klienta.