Вразливості

Microsoft усунула 73 CVE у серпні 2023 (CVE-2023-38180)

ResilientX

Microsoft випустила щомісячні оновлення безпеки Patch Tuesday за серпень 2023 року, усунувши загалом 73 вразливості в широкому спектрі продуктів. Оновлення містять виправлення вразливостей із рівнем серйозності «критичний» та «важливий», які в разі експлуатації могли призвести до віддаленого виконання коду (RCE), підвищення привілеїв, розкриття інформації, відмови в обслуговуванні (DoS) та інших наслідків.

Основні моменти оновлень Patch Tuesday за серпень:

  • Загалом усунуто 73 CVE, зокрема 6 з рівнем «критичний» і 67 — «важливий».
  • Вразливості віддаленого виконання коду становили 31,5% усунених вад, за ними — підвищення привілеїв із 24,7%.
  • У Microsoft Message Queuing усунуто кілька критичних вразливостей RCE.
  • Важливу вразливість відмови в обслуговуванні в .NET 6/7 та ASP.NET Core було розкрито як zero-day, що активно експлуатувалася в реальних умовах ще до випуску патча.
  • В Exchange Server усунуто кілька вразливостей, зокрема 2, які оцінено як «більш імовірні для експлуатації».
  • Цьогоріч у Windows Kernel уже усунуто 33 вразливості підвищення привілеїв.
  • Microsoft випустила рекомендацію (advisory) із заходами багаторівневого захисту (defense-in-depth) для Office, пов’язану з вадою Windows Search, розкритою минулого місяця.

Критичні вразливості Microsoft Message Queuing

Серед найсерйозніших проблем, усунених цього місяця, — три критичні вразливості віддаленого виконання коду в компоненті Microsoft Message Queuing (MSMQ), кожна з яких отримала 9.8 бала за шкалою серйозності CVSSv3. Відстежувані як CVE-2023-35385, CVE-2023-36910 та CVE-2023-36911, ці вади в разі успішної експлуатації могли дати неавтентифікованому зловмиснику змогу виконати довільний код у вразливій системі, надсилаючи спеціально сформовані пакети MSMQ, якщо службу ввімкнено.

Дослідникові Yuki Chen з Cyber KunLun приписують повідомлення про загалом шість вразливостей у Microsoft Message Queuing цього місяця, зокрема три критичні проблеми RCE, згадані вище, а також CVE-2023-36912 і CVE-2023-38172 (відмова в обслуговуванні) та CVE-2023-35383 (розкриття інформації). Хоча черги повідомлень можуть використовуватися не надто широко, для організацій, які покладаються на цю можливість Windows для міжпроцесної взаємодії, встановлення цих критичних патчів має стати пріоритетом.

Zero-day вразливість відмови в обслуговуванні в .NET

Цього місяця Microsoft також усунула важливу вразливість відмови в обслуговуванні, що відстежується як CVE-2023-38180 і про яку публічно повідомляли як про zero-day, що експлуатувалася в реальних умовах ще до випуску патча. Маючи оцінку серйозності CVSS 7.5, ця проблема зачіпає .NET 6/7 та ASP.NET Core і в разі успішної експлуатації могла дати зловмиснику змогу спричинити стан відмови в обслуговуванні на вразливих серверах.

Оскільки на момент випуску патча деталі експлуатації в реальних умовах залишалися невідомими, у рекомендації зазначено, що організаціям слід оперативно встановити оновлення, щоб зменшити потенційні ризики. Той факт, що цю проблему DoS помітили в експлуатації ще до її розкриття, підкреслює важливість швидкого встановлення патчів для систем, доступних з інтернету.

Вади підвищення привілеїв у Windows Kernel

Серед 67 вразливостей із рівнем «важливий», усунених цього місяця, вирізняються 5 вад підвищення привілеїв у Windows Kernel: CVE-2023-35359, CVE-2023-35380, CVE-2023-35382, CVE-2023-35386 та CVE-2023-38154. Маючи оцінки серйозності CVSS 7.8, ці вади в разі успішної експлуатації могли дати автентифікованому локальному зловмиснику змогу отримати привілеї SYSTEM в уражених системах. Чотири з п’яти виявили дослідники Google Project Zero.

Оскільки цьогоріч Microsoft уже усунула 33 вразливості підвищення привілеїв у Windows Kernel, своєчасне встановлення патчів для таких вад допомагає зміцнити системи проти складних атак, спрямованих на підвищення привілеїв шляхом зв’язування кількох вразливостей у ланцюг. З огляду на ймовірність експлуатації, організаціям варто пріоритезувати тестування та розгортання патчів для цих вад Windows Kernel.

Вразливості в Exchange Server

Ще одна проблемна ділянка цього місяця — кілька вразливостей, усунених у Microsoft Exchange Server. Загалом для Exchange Server усунуто шість проблем, зокрема:

  • CVE-2023-21709 — важливе підвищення привілеїв через підбір пароля методом перебору
  • CVE-2023-38181 — важлива підміна (spoofing)
  • CVE-2023-38185 — важливе RCE, експлуатація менш імовірна
  • CVE-2023-35368 — важливе RCE, експлуатація менш імовірна
  • CVE-2023-38182 — важливе RCE, експлуатація більш імовірна
  • CVE-2023-35388 — важливе RCE, експлуатація більш імовірна

Особливої уваги заслуговують CVE-2023-38182 та CVE-2023-35388, які можуть уможливити RCE й вважаються більш імовірними для експлуатації. Останніми роками Exchange Server був привабливою ціллю для зловмисників, тож тестування та розгортання цих оновлень має бути пріоритетом для організацій, що використовують Exchange. Крім того, для повного усунення CVE-2023-21709 потрібні додаткові кроки.

Вада підвищення привілеїв у драйвері Windows CLFS

Microsoft усунула ще одну важливу проблему підвищення привілеїв у драйвері Windows Common Log File System (CLFS), що відстежується як CVE-2023-36900 і має оцінку серйозності CVSS 7.8. Примітно, що це вже п’ята вада безпеки, виправлена в драйвері Windows CLFS лише цього року. Попередні вразливості підвищення привілеїв у драйвері CLFS експлуатувалися в реальних умовах як zero-day, що підкреслює критичну важливість швидкого встановлення патчів для проблем такого типу.

Оновлення багаторівневого захисту для Office

Хоча цього місяця Microsoft не усунула жодних прямих вразливостей, вона все ж випустила рекомендацію (ADV230003) як захід багаторівневого захисту, що забезпечує посилену безпеку для Office і пов’язаний із проблемою, раніше усуненою для Windows Search (CVE-2023-36884) минулого місяця. Хоча спершу цю вразливість Windows Search оцінювали як критичну щодо RCE, цього місяця її переглянули на «важлива / обхід функції безпеки».

Впроваджуючи заходи посилення захисту Office, детально описані в ADV230003, Microsoft прагне розірвати потенційні ланцюги атак, які можуть призвести до експлуатації. Організаціям рекомендовано переглянути та впровадити оновлення Office, зазначені в рекомендації, разом зі встановленням патчів для найновіших вад Windows. Підтримання Office і Windows у повністю оновленому стані є ключем до збереження багаторівневого захисту.

Якщо розглянути оновлення Patch Tuesday за серпень у цілому, вирізняється кілька ключових тенденцій:

  • Вразливості віддаленого виконання коду та підвищення привілеїв і надалі становлять більшість вад, які усувають щомісяця. Пріоритетне розгортання патчів для цих серйозніших типів вразливостей на системах і серверах, доступних з інтернету, має залишатися у фокусі.
  • Microsoft Exchange Server і надалі залишається ціллю для дослідників та зловмисників — цього місяця усунуто ще шість вад, зокрема деякі з більшою імовірністю експлуатації. Патчі для Exchange слід швидко тестувати й розгортати.
  • Windows Kernel залишається головною ціллю для вад підвищення привілеїв, тож організаціям рекомендовано й надалі налаштовувати управління патчами, щоб усувати проблеми такого типу щомісяця.
  • Служби обміну повідомленнями на кшталт MSMQ можуть залишатися непоміченими, але потребують оперативного встановлення патчів, коли усувають критичні вади віддаленого виконання коду.
  • Активно експлуатовані zero-day, як-от проблема DoS у .NET, розкрита цього місяця, демонструють важливість швидких циклів встановлення патчів.
  • Оновлення багаторівневого захисту, як-от рекомендація щодо Office, також заслуговують на увагу для нейтралізації потенційних ланцюгів атак.

Оскільки атаки на ланцюг постачання програмного забезпечення й далі потрапляють у заголовки, очевидно, що зловмисники активно експлуатують вразливості як у популярних, так і в більш нішевих продуктах та компонентах Microsoft. Розроблення процесів для швидкого тестування й розгортання щомісячних оновлень Patch Tuesday у всьому середовищі залишається однією з найважливіших найкращих практик, які організації можуть впровадити для покращення стану кібербезпеки.

Пов’язані ресурси

ПоділитисяLinkedInX
Пов’язані статті блогу
Нічого не знайдено.

Готові зменшити свою кіберекспозицію?

Дізнайтеся, як ResilientX забезпечує безперервну видимість вашої поверхні атаки, ризиків третіх сторін і стану відповідності — в одній платформі.

Забронюйте демо