Microsoft łata trzy wykorzystane luki zero-day i 73 inne błędy (w tym dla MS Exchange serwer i MS Word)

W walentynki Microsoft i Adobe udostępniły swoje najnowsze poprawki zabezpieczeń, które  śmiało można nazwać „prezentami walentynkowymi dla nas wszystkich”. W tym miesiącu wydali aż 75 nowych poprawek CVE dotyczących systemu Microsoft Windows i jego składników, w tym:

• Microsoft Office oraz jego komponentów,
• Serwera Microsoft Exchange,
• .NET Core i Visual Studio Code,
• 3D Builder oraz Print 3D,
• Microsoft Azure oraz Dynamics 365,
• Defender for IoT oraz the Malware Protection Engine,
• Microsoft Edge (opartego na Chromium).

W sumie osiem z tych CVE zostało przesłanych za pośrednictwem programu ZDI.

Pod względem ważności spośród wydanych łat dziewięć ma ocenę krytyczną, a 66 – ważną. „To wydanie poprawek jest stosunkowo typowe dla Patch Tuesday. Jednak rzadko spotyka się połowę błędów związanych ze zdalnym wykonaniem kodu (RCE)” – opisuje ZDI.

Jakie zero-daye załatał Microsoft?

Z perspektywy bezpieczeństwa najważniejsze załatane zero-daye to:

• CVE-2023-21715 – Microsoft Office Security Feature Bypass Vulnerability,
• CVE-2023-23376 – Windows Common Log File System Driver Elevation of Privilege Vulnerability,
•  CVE-2023-21823 – Windows Graphics Component Remote Code Execution Vulnerability.

Szczegóły opisujemy poniżej.

CVE-2023-21715

CVE-2023-21715 to luka umożliwiająca atakującym ominięcie funkcji zabezpieczeń programu Microsoft Publisher: zasady makr pakietu Office służące do blokowania niezaufanych lub złośliwych plików. „Sam atak jest przeprowadzany lokalnie przez użytkownika z uwierzytelnieniem w docelowym systemie. Uwierzytelniony atakujący może wykorzystać tę lukę, przekonując ofiarę za pomocą socjotechniki do pobrania i otwarcia specjalnie spreparowanego pliku ze strony internetowej, co może doprowadzić do lokalnego ataku na komputer ofiary” – wyjaśnia Microsoft.

Ze względu na lokalny wektor ataku oraz fakt, że do wykorzystania podatności wymagane są podwyższone uprawnienia i interakcja użytkownika, luka została sklasyfikowana jako istotna.

Pamiętajmy, że każda luka, która pozwala atakującym na niewłaściwe użycie makr w dokumencie Office i niewyzwalanie blokady, powinna zostać szybko załatana, niezależnie od tego, czy jest obecnie wykorzystywana w wysoce ukierunkowanych atakach, czy szerzej. Atakujący powoli rezygnują z używania makr, ponieważ Microsoft zaczął domyślnie blokować je w dokumentach Office pobieranych z Internetu, ale luki takie jak ta sprawiają, że nadal wydają się dobrą opcją.

CVE-2023-23376

CVE-2023-23376 to luka w zabezpieczeniach wspólnego systemu plików dziennika systemu Windows (Windows Common Log File System), która może umożliwić atakującym uzyskanie uprawnień SYSTEMOWYCH na hoście docelowym.

„Prawdopodobnie jest to połączone z błędem RCE w celu rozprzestrzeniania złośliwego oprogramowania lub oprogramowania ransomware. Biorąc pod uwagę, że zostało to wykryte przez Centrum analizy zagrożeń firmy Microsoft (znane również jako MSTIC), może to oznaczać, że było wykorzystywane przez zaawansowane ugrupowania cyberprzestępcze.

„Tak czy inaczej, upewnij się, że szybko przetestujesz i wprowadzisz te poprawki” – mówi Dustin Childs z firmy Trend Micro.

CVE-2023-21823

CVE-2023-21823 to luka w komponencie grafiki systemu Windows, która może prowadzić do zdalnego wykonania kodu i całkowitego przejęcia zagrożonego systemu. „Microsoft Store automatycznie zaktualizuje klientów, których to dotyczy”, podaje Microsoft.

Ci, którzy wyłączyli automatyczne aktualizacje, powinni je pobrać za pośrednictwem Microsoft Store (przejdź do: Biblioteka > Pobierz aktualizacje > Aktualizuj wszystkie).

Niestety Microsoft nie udostępnił żadnych szczegółów na temat ataków, w których wykorzystywane są te luki.

Inne ciekawe luki w zabezpieczeniach (MS Exchange oraz MS Word)

Warto zwrócić uwagę również na:

• CVE-2023-21716 – lukę w zabezpieczeniach programu Microsoft Word umożliwiającą zdalne wykonanie kodu,
• CVE-2023-21529 – lukę w zabezpieczeniach programu Microsoft Exchange Server, również umożliwiającą zdalne wykonanie kodu.

Radzimy administratorom, aby szybko załatali CVE-2023-21716, krytyczny RCE w Microsoft Word, który może zostać wykorzystany przez system po prostu podczas otwierania okienka podglądu. Nie powinni zwlekać również w przypadku drugiego błędu dla Exchange.

CVE-2023-21716

„Nieuwierzytelniony atakujący może wysłać złośliwą wiadomość e-mail zawierającą ładunek w formacie RTF, który umożliwi mu uzyskanie dostępu do wykonywania poleceń w aplikacji używanej do otwierania złośliwego pliku” – informuje Microsoft.

Zwykle błędy w programie Word nie przyciągają zbytniej uwagi – chyba że okienko podglądu programu Outlook jest wektorem ataku, co ma miejsce w tym przypadku. Błąd CVSS 9.8 może zostać wykorzystany przez osobę atakującą do wykonania kodu na poziomie zalogowanego użytkownika bez jego interakcji. W połączeniu z błędem eskalacji uprawnień, takim jak wspomniany powyżej, atakujący może całkowicie skompromitować cel.

Jeśli jesteś zalogowany jako administrator, eskalacja nie jest potrzebna, co jest kolejnym powodem, dla którego nie powinieneś być zalogowany jako administrator do zadań innych niż administracyjne.

CVE-2023-21529

W tym miesiącu naprawianych jest wiele błędów Exchange RCE, ale ten zgłoszony przez Piotra Bazydło z ZDI wyróżnia się, ponieważ wynika z niekompletnej poprawki w Exchange z zeszłej jesieni. Chociaż luka ta wymaga uwierzytelnienia, pozwala każdemu użytkownikowi z dostępem do zaplecza Exchange PowerShell na przejęcie serwera Exchange.

Mamy świadomość, że stosowanie poprawek Exchange nie jest zabawne i zwykle wymaga krótkiego przestoju w weekend, ale aktualizacje te nadal powinny być traktowane priorytetowo!