UWAGA! Krytyczne błędy w MS Teams, Exchange i mechanizmie kolejkowania MSMQ na Windows. Łatajcie systemy!

Podczas gdy dwadzieścia trzy błędy RCE zostały naprawione, Microsoft ocenił tylko sześć z nich jako krytyczne.

Poniżej przedstawiamy podział luk ze względu na ich rodzaj:

• 18 luk w zabezpieczeniach podniesienia uprawnień,
• 3 luki w zabezpieczeniach funkcji obejścia,
• 23 luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu,
• 10 luk w zabezpieczeniach związane z ujawnianiem informacji,
• 8 luk w zabezpieczeniach typu „odmowa usługi”,
• 12 luk w zabezpieczeniach związanych z fałszowaniem.

Najważniejsza luka – CVE-2023-35385

W systemie Microsoft Windows została odkryta podatność sklasyfikowana jako bardzo krytyczna. Problemem dotknięta jest nieznana funkcja w komponencie Message Queuing. Manipulacja prowadzi do zdalnego wykonania kodu. Informacja o podatności została opublikowana ósmego sierpnia w formie Security Guidance – poradnik jest dostępny pod adresem portal.msrc.microsoft.com. Luka otrzymała numer CVE-2023-35385. Możliwe jest zdalne przeprowadzenie ataku. Nie są dostępne żadne szczegóły techniczne, nie ma też dostępnego exploita, ale struktura podatności definiuje w tej chwili możliwy przedział cenowy od 5 do 25 tys. USD. Według danych portalu vuldb.com szacowana cena za wykonanie 0day to około 25 000–100 000 USD.

Dwie aktywnie wykorzystywane luki Zeroday:

1) ADV230003 – szczegółowa aktualizacja programu Microsoft Office Defense (ujawniona publicznie) i Exchange Server

Microsoft wydał aktualizację Office Defense in Depth, aby naprawić poprawkę omijającą wcześniej złagodzoną i aktywnie wykorzystywaną lukę zdalnego wykonywania kodu CVE-2023-36884, o której pisaliśmy tutaj.

dokumentów pakietu Microsoft Office, które mogą ominąć funkcję zabezpieczeń Mark of the Web (MotW), powodując otwieranie plików bez wyświetlania ostrzeżenia o zabezpieczeniach, a także zdalne wykonanie kodu.

Luka była aktywnie wykorzystywana przez grupę hakerską RomCom, znaną wcześniej z wykorzystywania oprogramowania ransomware Industrial Spy w atakach. Od tego czasu operacja ransomware została przemianowana na „Underground”, a w ramach tej przestępcy nadal wyłudzają pieniądze.

Podatność została odkryta przez Paula Rascagneresa i Toma Lancastera z Volexity.

2) CVE-2023-38180 – luka w zabezpieczeniach .NET i Visual Studio związana z odmową usługi

Microsoft naprawił aktywnie wykorzystywaną lukę, która może powodować atak DoS na aplikacje .NET i Visual Studio. Niestety nie udostępnił żadnych dodatkowych szczegółów na temat wykorzystania tej luki w atakach ani nie ujawnił, kto ją odkrył.

Dostępna jest aktualizacja „Defense in Depth Update” pakietu Microsoft Office, która według firmy zatrzymuje łańcuch ataków prowadzący do CVE-2023-36884, luki w zabezpieczeniach Windows Search RCE, wcześniej wykorzystywanej przez rosyjskich hakerów w atakach ukierunkowanych.

Inne luki:

CVE-2023-21709 – podniesienie uprawnień w Microsoft Exchange

Dustin Childs, szef działu świadomości zagrożeń w programie Zero Day Initiative firmy Trend Micro, twierdzi, że chociaż CVE-2023-21709 otrzymała ocenę „ważna”, należy uznać ją za krytyczną.

„Luka umożliwia zdalnemu, nieuwierzytelnionemu atakującemu zalogowanie się jako inny użytkownik. W tym przypadku przechodzisz od braku uprawnień do możliwości uwierzytelnienia na serwerze, co sprawia, że wszystkie te exploity po uwierzytelnieniu […] są wykonalne” – zauważa.

„Aby rozwiązać problem CVE-2023-21709, administratorzy muszą wykonać dodatkowe czynności i mogą uruchomić wydany przez nas skrypt CVE-2023-21709.ps1” – informuje zespół Microsoft Exchange.

Luki w Microsoft Teams

Dwie luki posiadające oznaczenie CVE-2023-29328 i CVE-2023-29330 mają wpływać na bezpieczeństwo Microsoft Teams. Mogą zostać wykorzystane przez atakującego po przekonaniu ofiary do dołączenia do spotkania w Teams.

Microsoft oczywiście nie mówi, w jaki sposób można wykorzystać błędy, ale twierdzi, że mogą one pozwolić nieuprzywilejowanemu atakującemu na zdalne wykonanie kodu w kontekście użytkownika-ofiary, dostęp do informacji ofiary i ich zmianę oraz potencjalnie spowodować przestój maszyny klienta.