Η microsoft naglabas ng mga update sa seguridad para sa buwan ng Abril 2024 para ayusin ang isang record 149 mga depekto , dalawa sa mga ito ay aktibong pinagsamantalahan sa ligaw.
Sa 149 na mga depekto, tatlo ang na-rate na Kritikal, 142 ang na-rate na Mahalaga, tatlo ang na-rate na Katamtaman, at ang isa ay na-rate na Mababang Kalubhaan. Ang pag-update ay wala sa tanong 21 mga kahinaan kinakaharap ng kumpanya sa browser nitong Edge na nakabase sa Chromium pagkatapos ng paglabas ng ng Marso Martes 2024 mga pag-aayos ng patch .
Ang dalawang pagkukulang na aktibong pinagsamantalahan ay ang mga sumusunod -
- CVE-2024-26234 (CVSS score: 6,7) – Proxy driver spoofing vulnerability
- CVE-2024-29988 (CVSS score: 8,8) – Mga feature ng seguridad ng SmartScreen Prompt na bypass ang kahinaan
Habang ang advisory ng Microsoft ay hindi nagbibigay ng impormasyon tungkol sa CVE-2024-26234, ang cyber companyseguridadSinabi ni Sophos na natuklasan nito noong Disyembre 2023 ang isang malisyosong executable (“Catalog.exe” o “Catalog Authentication Client Service”) na pinirmahan mula sa isang wastong Microsoft Windows hardware compatibility publisher ( WHCP ) sertipiko.
Ang pagsusuri ng Authenticode ng binary ay nagsiwalat ng orihinal na humihiling na publisher sa Hainan YouHu Technology Co. Ltd, na isa ring publisher ng isa pang tool na tinatawag na LaiXi Android Screen Mirroring.
Ang huli ay inilarawan bilang "isang marketing software ... [na] maaaring kumonekta sa daan-daang mga mobile phone at kontrolin ang mga ito sa mga batch at i-automate ang mga gawain tulad ng pagsubaybay sa grupo, paggusto at pagkomento."
Sa loob ng dapat na serbisyo sa pagpapatunay ay isang bahagi na tinatawag 3proxy na idinisenyo upang subaybayan at harangin ang trapiko ng network sa isang nahawaang sistema, na epektibong kumikilos bilang isang backdoor.
"Wala kaming katibayan na iminumungkahi na sinadyang isinama ng mga developer ng LaiXi ang malisyosong file sa kanilang produkto, o ang isang banta na aktor ay nagsagawa ng pag-atake sa supply chain upang ipasok ito sa proseso ng build/build ng LaiXi application," sabi niya Ang mananaliksik ng Sophos na si Andreas Klopsch. .
Sinabi rin ng kumpanya ng cybersecurity na nakatuklas ito ng ilang iba pang variant ng backdoor in the wild noong Enero 5, 2023, na nagsasaad na tumatakbo na ang campaign simula noon. Mula noon, idinagdag ng Microsoft ang mga nauugnay na file sa listahan ng pagbabalik nito.
"Upang mapagsamantalahan ang tampok na panseguridad na ito na bypass ang kahinaan, ang isang umaatake ay kailangang kumbinsihin ang isang gumagamit na maglunsad ng mga nakakahamak na file gamit ang isang launcher na humihiling na walang user interface na ipapakita," sabi ng Microsoft.
"Sa isang senaryo ng pag-atake sa email o instant messaging, maaaring ipadala ng isang attacker ang naka-target na user ng isang espesyal na ginawang file na idinisenyo upang samantalahin ang kahinaan sa pagpapatupad ng remote code."
Ang Zero Day Initiative ipinahayag na may katibayan ng pagsasamantala sa kapintasan sa ligaw, bagama't na-flag ito ng Microsoft ng "Most Likely Exploitation" na rating.
Ang isa pang mahalagang isyu ay ang kahinaan CVE-2024-29990 (CVSS score: 9.0), isang elevation ng privilege flaw na nakakaapekto sa Microsoft Azure Kubernetes Service Container Confidential na maaaring pagsamantalahan ng hindi authenticated attackers para magnakaw ng mga kredensyal.
"Maaaring ma-access ng isang attacker ang hindi pinagkakatiwalaang AKS Kubernetes node at AKS Confidential Container upang kunin ang mga kumpidensyal na bisita at mga container na lampas sa network stack na maaari nilang itali," sabi ni Redmond.
Sa pangkalahatan, ang release ay kapansin-pansin para sa pagtugon sa hanggang 68 remote code execution, 31 privilege escalation, 26 security feature bypass, at anim na denial-of-service (DoS) bug. Kapansin-pansin, 24 sa 26 na error sa pag-bypass sa seguridad ay nauugnay sa Secure Boot.
"Habang wala sa mga kahinaan na ito Secure Boot na natugunan sa buwang ito ay hindi pinagsamantalahan sa ligaw, nagsisilbi itong paalala na ang mga kapintasan sa Secure Boot ay umiiral pa rin at maaari tayong makakita ng higit pang malisyosong aktibidad na nauugnay sa Secure Boot sa hinaharap, "sabi ni Satnam Narang, senior staff research engineer sa Tenable. isang pahayag.
Ang paghahayag ay dumating tulad ng Microsoft harapin ang pagpuna για τις πρακτικές ασφαλείας της, με μια πρόσφατη έκθεση από το Συμβούλιο Αναθεώρησης Cyber securityς των ΗΠΑ (CSRB) που καλεί την εταιρεία ότι δεν έκανε αρκετά για να αποτρέψει μια εκστρατεία κατασκοπείας στον κυβερνοχώρο που ενορχηστρώθηκε από έναν κινέζο παράγοντα απειλών που παρακολουθείται ως Storm. -0558 πέρυσι.
Kasunod din ito ng desisyon ng kumpanya na mag-publish ng root cause data para sa mga bahid ng seguridad gamit ang pamantayan sa industriya ng Common Weakness Enumeration (CWE). Gayunpaman, nararapat na tandaan na ang mga pagbabago ay nalalapat lamang simula sa mga advisory na na-publish mula Marso 2024.
"Ang pagdaragdag ng mga pagtatasa ng CWE sa payo sa seguridad ng Microsoft ay nakakatulong na matukoy ang pangkalahatang sanhi ng isang kahinaan," sabi ni Adam Barnett, nangunguna sa software engineer sa Rapid7, sa isang pahayag na ibinahagi sa The Hacker News.
“Ang programa ng CWE kamakailan ay nag-update ng gabay nito sa pagmamapa ng mga CVE sa isang ugat ng CWE . Ang pagsusuri sa mga trend ng CWE ay maaaring makatulong sa mga developer na bawasan ang mga pangyayari sa hinaharap sa pamamagitan ng pinahusay na mga daloy ng trabaho at pagsubok ng Software Development Life Cycle (SDLC), pati na rin ang pagtulong sa mga tagapagtanggol na maunawaan kung saan ididirekta ang mga pagsisikap sa pagtatanggol at pagpapatigas para sa mas magandang return on investment."
Sa isang kaugnay na pag-unlad, inilantad ng cybersecurity firm na Varonis ang dalawang paraan na maaaring gamitin ng mga umaatake upang i-bypass ang mga audit log at maiwasan ang pag-trigger ng mga kaganapan sa pag-download kapag nag-e-export ng mga file mula sa SharePoint.
Sinasamantala ng unang diskarte ang feature na "Buksan sa App" ng SharePoint upang ma-access at mag-download ng mga file, habang ginagamit ng pangalawa ang user agent para sa Microsoft SkyDriveSync upang mag-download ng mga file o kahit na buong site, na mali ang pag-uuri ng mga kaganapan bilang pag-sync ng file sa halip na mga pag-download .
"Maaaring lampasan ng mga diskarteng ito ang mga patakaran sa pagtuklas at pagpapatupad ng mga tradisyunal na tool, tulad ng mga cloud access security broker, pag-iwas sa pagkawala ng data at mga SIEM, sa pamamagitan ng pagkukunwari sa mga pag-download bilang hindi gaanong kahina-hinalang pag-access at mga kaganapan sa pag-synchronize," sinabi niya Eric Saraga.
Mga pag-aayos ng software ng third-party
Bilang karagdagan sa Microsoft, ang mga update sa seguridad ay inilabas din ng iba pang mga vendor sa mga nakaraang linggo upang ayusin ang ilang mga kahinaan, kabilang ang:
- Adobe
- AMD
- Android
- Apache XML Security para sa C++
- Mga Network ng Aruba
- Atos
- Bosch
- Cisco
- D-Link
- Labak na may gubat
- Drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Chrome
- Google Cloud
- Google Pixel
- Hikvision
- Enerhiya ng Hitachi
- HP
- HPE Enterprise
- HTTP / 2
- IBM
- Ivanta
- Jenkins
- Lenovo
- LG webOS
- Distribusyon ng Linux Debian, Oracle Linux, Red sumbrero, SUSE, at Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR, at Thunderbird
- NETGEAR
- NVIDIA
- Qualcomm
- Rockwell Automation
- Kalawang
- Samsung
- Panghinain
- Schneider Electric
- Siemens
- Splunk
- Synology
- VMware
- WordPress
- Mag-zoom
