Dwa aktywnie wykorzystywane poważne zero-daye oraz inne krytyczne luki w Microsoft. Łatajcie!

Wykorzystanie luki CVE-2024-43451

CVE-2024-43451 to poważna luka, która pozwala atakującym na podniesienie uprawnień na zaatakowanych urządzeniach z systemami Windows oraz Windows Server poprzez ujawnienie skrótu NTLMv2 użytkownika, zawierającego jego dane uwierzytelniające. W praktyce umożliwia to atakującym stosowanie techniki pass the hash do uwierzytelnienia się jako dany użytkownik.

„Z mojej wiedzy wynika, że to już trzecia luka ujawniająca skróty NTLMv2, która została wykorzystana w 2024 roku” – mówi Satnam Narang, starszy inżynier ds. badań w Tenable.

Pomimo braku potwierdzonych przypadków aktywnego wykorzystania tej luki w praktyce Narang zwraca uwagę na ciągłą determinację atakujących w poszukiwaniu i eksploatacji luk zero-day, które ujawniają skróty NTLMv2. Ataki tego typu mogą umożliwiać atakującym przemieszczanie się po sieci w celu zdobycia dostępu do innych systemów.

Aby wywołać CVE-2024-43451, wymagana jest interakcja użytkownika, np. otwarcie zainfekowanego pliku. Specjaliści zauważają jednak, że nie stanowi to znaczącej przeszkody dla doświadczonych cyberprzestępców.

Wykorzystanie luki CVE-2024-49039

CVE-2024-49039 to luka w harmonogramie zadań systemu Windows, również wykorzystywana do podnoszenia uprawnień. Luka pozwala na ucieczkę z AppContainer, co umożliwia użytkownikowi o niskich uprawnieniach wykonanie kodu z poziomem średniej integralności. Choć atakujący muszą mieć możliwość wykonania kodu na systemie, luki związane z ucieczką z kontenerów są rzadko spotykane i szczególnie interesujące.

„Po pomyślnym wykorzystaniu luki atakujący mogą podnieść swoje uprawnienia, uzyskać dostęp do wcześniej niedostępnych zasobów oraz uruchamiać kod, np. funkcje zdalnego wywoływania procedur (RPC)” – dodaje Narang.

Dustin Childs, szef ds. świadomości zagrożeń w Trend Micro Zero Day Initiative, zauważa, że choć szczegóły dotyczące praktycznego wykorzystania CVE-2024-49039 są ograniczone, przypisanie tej luki różnym badaczom, w tym członkom Google TAG, sugeruje, że może ona być związana z zaawansowaną działalnością APT lub operacjami sponsorowanymi przez państwa.

Inne ciekawe i załatane luki w zabezpieczeniach

Poza powyższymi dwiema lukami zostały załatane inne, o których warto wspomnieć.

CVE-2024-43639 to luka, która przyciąga szczególną uwagę. Jak podaje Microsoft, „nieuwierzytelniony atakujący może wykorzystać specjalnie spreparowaną aplikację do zdalnego wykonania kodu, wykorzystując lukę w zabezpieczeniach protokołu kryptograficznego Windows Kerberos”. Co istotne, zgodnie z ciągiem wektora CVSS, nie jest wymagana interakcja użytkownika, aby doszło do wykorzystania tej luki. Z racji działania Kerberos z podwyższonymi uprawnieniami luka ta jest potencjalnie podatna na rozprzestrzenianie się między systemami, co czyni ją szczególnie groźną.

CVE-2024-5535 to luka w OpenSSL, która została pierwotnie ujawniona w czerwcu 2024 r., a teraz załatana w Microsoft Defender for Endpoint. Aby wykorzystać tę lukę, atakujący musi wysłać złośliwy link, najczęściej za pośrednictwem poczty e-mail lub komunikatora, i skłonić użytkownika do kliknięcia. W najbardziej niekorzystnym scenariuszu mailowego ataku atakujący może wysłać specjalnie spreparowaną wiadomość e-mail, która wywoła zdalne wykonanie kodu bez konieczności jej otwierania przez ofiarę. Microsoft ocenił jednak, że realne wykorzystanie tej luki jest mało prawdopodobne.

CVE-2024-49019 to publicznie ujawniona luka podniesienia uprawnień w Active Directory Certificate Services (AD CS), uznana przez Microsoft za bardziej prawdopodobną do wykorzystania. Luka ta wynika z niewłaściwej konfiguracji szablonów certyfikatów w środowisku PKI. Skuteczne wykorzystanie tej luki może umożliwić atakującemu uzyskanie uprawnień administratora domeny. Microsoft wydał odpowiednie poprawki oraz środki zaradcze, aby przeciwdziałać tej podatności.

CVE-2024-49040 to numer luki umożliwiającej podszywanie się w Microsoft Exchange Server. Została ona publicznie ujawniona z dowodem koncepcji wykorzystania. Problem leży w obecnej implementacji weryfikacji nagłówka P2 FROM podczas transportu wiadomości. Microsoft wyjaśnia, że implementacja ta pozwala na przepuszczenie niezgodnych ze standardem RFC 5322 nagłówków, co może sprawić, że klient poczty e-mail, taki jak Outlook, wyświetli sfałszowanego nadawcę jako autentycznego.

Od listopadowej aktualizacji zabezpieczeń programu Exchange Server 2024 r. serwer będzie w stanie wykrywać i oznaczać e-maile z potencjalnie złośliwymi wzorcami w nagłówku P2 FROM. Wiadomości takie będą zawierały dodatkowe zastrzeżenie informujące odbiorców o potencjalnym zagrożeniu.

Zalecenia dla administratorów

1. Szybkie wdrożenie poprawek: Upewnij się, że wszystkie poprawki opublikowane w ramach listopadowego Patch Tuesday 2024 zostały jak najszybciej zaimplementowane na serwerach i urządzeniach z systemami Windows oraz Windows Server. Dotyczy to w szczególności poprawek dla luk CVE-2024-43451, CVE-2024-49039, CVE-2024-43639, CVE-2024-49019 oraz CVE-2024-49040.
2. Monitorowanie i testowanie środowiska Kerberos: Biorąc pod uwagę podatność CVE-2024-43639, sprawdź i monitoruj konfiguracje systemów korzystających z protokołu Kerberos. Przeprowadź testy, aby upewnić się, że środki zabezpieczające działają poprawnie po wdrożeniu poprawek.
3. Przegląd szablonów certyfikatów PKI: Zidentyfikuj i skoryguj potencjalnie błędne konfiguracje szablonów certyfikatów w Active Directory Certificate Services, aby zminimalizować ryzyko związane z luką CVE-2024-49019. Upewnij się, że tylko odpowiednio skonfigurowane szablony są używane do wydawania certyfikatów.
4. Wdrożenie zasad bezpieczeństwa w Microsoft Exchange Server: Zaktualizuj Microsoft Exchange Server zgodnie z najnowszymi zaleceniami, aby chronić się przed luką CVE-2024-49040. Skonfiguruj system do wykrywania i oznaczania podejrzanych nagłówków P2 FROM. Przeprowadź regularne audyty wiadomości e-mail, aby zidentyfikować potencjalne próby podszywania się.