Η Microsoft veröffentlichte Sicherheitsupdates für den Monat April 2024, um einen Rekord zu beheben 149 Mängel , von denen zwei aktiv in freier Wildbahn ausgebeutet wurden.
Von den 149 Mängeln werden drei als kritisch, 142 als wichtig, drei als mäßig und einer als geringer Schweregrad eingestuft. Das Update kommt nicht in Frage 21 Schwachstellen mit denen das Unternehmen nach der Veröffentlichung von in seinem Chromium-basierten Edge-Browser konfrontiert war vom März Dienstag 2024 Patch-Korrekturen .
Die beiden Mängel, die aktiv ausgenutzt wurden, sind die folgenden:
- CVE-2024-26234 (CVSS-Score: 6,7) – Schwachstelle durch Proxy-Treiber-Spoofing
- CVE-2024-29988 (CVSS-Score: 8,8) – Die Sicherheitsfunktionen von SmartScreen Prompt umgehen Schwachstellen
Das Advisory von Microsoft enthält zwar keine Informationen dazu CVE-2024-26234, das CyberunternehmenSicherheitSophos gab an, im Dezember 2023 eine schädliche ausführbare Datei („Catalog.exe“ oder „Catalog Authentication Client Service“) entdeckt zu haben unterzeichnet von einem gültigen Microsoft Windows-Hardwarekompatibilitätsherausgeber ( WHCP ) Zertifikat.
Die Authenticode-Analyse der Binärdatei gab den ursprünglichen anfragenden Herausgeber an Hainan YouHu Technology Co. bekannt. Ltd, das auch Herausgeber eines anderen Tools namens LaiXi Android Screen Mirroring ist.
Letzteres wird beschrieben als „eine Marketing-Software … [die] Hunderte von Mobiltelefonen verbinden und stapelweise steuern und Aufgaben wie Gruppenfolgen, Liken und Kommentieren automatisieren kann“.
Innerhalb des vermeintlichen Authentifizierungsdienstes handelt es sich um eine Komponente namens 3-Proxy Es dient dazu, den Netzwerkverkehr auf einem infizierten System zu überwachen und abzufangen und fungiert so effektiv als Hintertür.
„Wir haben keine Beweise dafür, dass die LaiXi-Entwickler die schädliche Datei absichtlich in ihr Produkt integriert haben oder dass ein Bedrohungsakteur einen Angriff auf die Lieferkette durchgeführt hat, um sie in den Build-/Build-Prozess der LaiXi-Anwendung einzuschleusen.“ er sagte Sophos-Forscher Andreas Klopsch. .
Das Cybersicherheitsunternehmen sagte außerdem, dass es bis zum 5. Januar 2023 mehrere andere Varianten der Hintertür in freier Wildbahn entdeckt habe, was darauf hindeutet, dass die Kampagne mindestens seitdem läuft. Microsoft hat die entsprechenden Dateien inzwischen in seine Rückrufliste aufgenommen.
„Um diese Schwachstelle zur Umgehung der Sicherheitsfunktion auszunutzen, müsste ein Angreifer einen Benutzer dazu verleiten, schädliche Dateien mithilfe eines Launchers zu starten, der anfordert, dass keine Benutzeroberfläche angezeigt wird“, sagte Microsoft.
„In einem E-Mail- oder Instant-Message-Angriffsszenario könnte ein Angreifer dem Zielbenutzer eine speziell gestaltete Datei senden, die darauf ausgelegt ist, die Sicherheitslücke bei der Remotecodeausführung auszunutzen.“
Die Zero-Day-Initiative enthüllt dass es Beweise dafür gibt, dass der Fehler in freier Wildbahn ausgenutzt wird, obwohl Microsoft ihn mit der Einstufung „Höchstwahrscheinliche Ausnutzung“ gekennzeichnet hat.
Ein weiteres wichtiges Thema ist die Verletzlichkeit CVE-2024-29990 (CVSS-Score: 9.0), ein Fehler bei der Erhöhung von Berechtigungen, der den Microsoft Azure Kubernetes Service Container Confidential betrifft und von nicht authentifizierten Angreifern ausgenutzt werden könnte, um Anmeldeinformationen zu stehlen.
„Ein Angreifer kann auf den nicht vertrauenswürdigen AKS Kubernetes-Knoten und den AKS Confidential Container zugreifen, um vertrauliche Gäste und Container über den Netzwerkstapel hinaus, an den sie möglicherweise gebunden sind, zu übernehmen“, sagte Redmond.
Insgesamt zeichnet sich die Version durch die Behebung von bis zu 68 Remote-Codeausführungen, 31 Privilegienausweitungen, 26 Umgehungen von Sicherheitsfunktionen und sechs Denial-of-Service (DoS)-Bugs aus. Interessanterweise hängen 24 der 26 Sicherheitsumgehungsfehler mit Secure Boot zusammen.
„Während keine dieser Schwachstellen SICHERES BOOTEN „Die in diesem Monat angesprochenen Angriffe wurden nicht in freier Wildbahn ausgenutzt, sie dienen als Erinnerung daran, dass es immer noch Schwachstellen im Secure Boot gibt und wir in Zukunft möglicherweise mehr schädliche Aktivitäten im Zusammenhang mit Secure Boot sehen könnten“, sagte Satnam Narang, leitender Forschungsingenieur bei Tenable ein Statement.
Die Offenbarung kommt wie Microsoft mit Kritik konfrontiert werden über seine Sicherheitspraktiken, mit einem aktuellen Bericht des Board of Review Onlinesicherheit(CSRB) wirft dem Unternehmen vor, nicht genug getan zu haben, um eine Cyberspionagekampagne zu verhindern, die von einem chinesischen Bedrohungsakteur namens Storm inszeniert wurde. -0558 letztes Jahr.
Es folgt auch der Entscheidung des Unternehmens Veröffentlichen Sie Ursachendaten auf Sicherheitslücken mithilfe des Industriestandards Common Weakness Enumeration (CWE). Es ist jedoch zu beachten, dass die Änderungen erst ab den ab März 2024 veröffentlichten Empfehlungen gelten.
„Das Hinzufügen von CWE-Bewertungen zu den Sicherheitshinweisen von Microsoft hilft dabei, die Gesamtursache einer Schwachstelle zu identifizieren“, sagte Adam Barnett, leitender Softwareentwickler bei Rapid7, in einer mit The Hacker News geteilten Erklärung.
„Das CWE-Programm hat kürzlich seine Leitlinien aktualisiert Zuordnung von CVEs zu einer CWE-Ursache . Die Analyse von CWE-Trends kann Entwicklern dabei helfen, künftige Vorkommnisse durch verbesserte Software Development Life Cycle (SDLC)-Workflows und -Tests zu reduzieren und den Verteidigern dabei zu helfen, zu verstehen, wohin sie ihre tiefgreifenden Verteidigungsbemühungen lenken und die Entwicklung verstärken müssen, um eine bessere Kapitalrendite zu erzielen.“
In einer ähnlichen Entwicklung enthüllte das Cybersicherheitsunternehmen Varonis zwei Methoden, mit denen Angreifer Prüfprotokolle umgehen und das Auslösen von Download-Ereignissen beim Exportieren von Dateien aus SharePoint vermeiden können.
Der erste Ansatz nutzt die SharePoint-Funktion „In App öffnen“, um auf Dateien zuzugreifen und sie herunterzuladen, während der zweite den Benutzeragenten für Microsoft SkyDriveSync zum Herunterladen von Dateien oder sogar ganzen Websites verwendet und solche Ereignisse fälschlicherweise als Dateisynchronisierungen statt als Downloads klassifiziert.
„Diese Techniken können die Erkennungs- und Durchsetzungsrichtlinien herkömmlicher Tools wie Cloud Access Security Brokers, Data Loss Prevention und SIEMs umgehen, indem sie Downloads als weniger verdächtige Zugriffs- und Synchronisierungsereignisse tarnen.“ er sagte Eric Saraga.
Software-Korrekturen von Drittanbietern
Neben Microsoft haben in den letzten Wochen auch andere Anbieter Sicherheitsupdates veröffentlicht, um mehrere Schwachstellen zu beheben, darunter:
- Adobe
- AMD
- Android
- Apache XML-Sicherheit für C++
- Aruba Networks
- Atos
- Bosch
- Cisco
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Fortra
- Gitlab
- Google Chrome
- Cumolocity
- Google Pixel
- Hikvision
- Hitachi-Energie
- HP
- HP Enterprise
- HTTP / 2
- IBM
- Ivanti
- Jenkins
- Lenovo
- LG webOS
- Linux-Distributionen Debian, Oracle Linux, Red Hat, SUSE und Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR und Thunderbird
- NETGEAR
- NVIDIA
- Qualcomm
- Rockwell Automation
- Rust
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- VMware
- WordPress
- Zoom