Η Microsoft微軟 發布了 2024 年 XNUMX 月的安全性更新,修復了記錄 149 缺陷 ,其中兩個已在野外積極開發。
在 149 個缺陷中,142 個被評為“嚴重”,XNUMX 個被評為“重要”,XNUMX 個被評為“中等”,XNUMX 個被評為“低嚴重性”。更新是沒有問題的 21個漏洞 該公司在發布基於 Chromium 的 Edge 瀏覽器後面臨的問題 2024 年 XNUMX 月星期二補丁修復 .
已被積極利用的兩個缺陷如下:
- CVE-2024,26234 (CVSS 評分:6,7) – 代理驅動程式欺騙漏洞
- CVE-2024,29988 (CVSS評分:8,8)-SmartScreen Prompt安全功能繞過漏洞
雖然微軟的公告沒有提供有關的信息 CVE-2024-26234,賽博公司安全Sophos 表示,它在 2023 年 XNUMX 月發現了一個惡意可執行檔(「Catalog.exe」或「Catalog Authentication Client Service」),該執行檔是 簽 來自有效的 Microsoft Windows 硬體相容性發行商 ( WHCP ) 證書。
驗證碼分析 二進位檔案的原始請求發布者為海南優虎科技有限公司。 Ltd,也是另一個名為LaiXi Android Screen Mirroring 的工具的發行商。
後者被描述為「一款行銷軟體…可以連接數百部手機並大量控制它們,並自動執行群組關注、按讚和評論等任務」。
在假定的身份驗證服務中有一個名為 3代理 它旨在監視和攔截受感染系統上的網路流量,有效地充當後門。
“我們沒有證據表明萊西開發人員故意將惡意文件整合到他們的產品中,或者威脅行為者進行了供應鏈攻擊以將其註入萊西應用程式建置/建置過程中,” 他說 Sophos 研究員 Andreas Klopsch。 。
該網路安全公司還表示,到 5 年 2023 月 XNUMX 日,它在野外發現了該後門的其他幾個變體,這表明該活動至少從那時起就一直在進行。微軟已將相關文件新增至其召回清單。
微軟表示:“要利用此安全功能繞過漏洞,攻擊者必須說服用戶使用請求不顯示用戶介面的啟動器來啟動惡意檔案。”
“在電子郵件或即時訊息攻擊場景中,攻擊者可以向目標用戶發送旨在利用遠端程式碼執行漏洞的特製檔案。”
零日計劃 他透露道 儘管微軟已將其標記為「最有可能被利用」評級,但有證據表明該漏洞已被利用。
另一個重要問題是脆弱性 CVE-2024-29990 (CVSS 評分:9.0),這是一個影響 Microsoft Azure Kubernetes Service Container Confidential 的特權提升缺陷,未經驗證的攻擊者可能會利用該缺陷竊取憑證。
Redmond 表示:“攻擊者可以存取不受信任的 AKS Kubernetes 節點和 AKS 機密容器,以接管它們可能綁定的網路堆疊之外的機密來賓和容器。”
總體而言,該版本的顯著之處在於解決了多達 68 個遠端程式碼執行、31 個權限升級、26 個安全功能繞過和 24 個拒絕服務 (DoS) 錯誤。有趣的是,26 個安全繞過錯誤中有 XNUMX 個與安全啟動相關。
「雖然這些漏洞都沒有 安全啟動 Tenable 資深研究工程師 Satnam Narang 表示:「本月解決的問題並未在野外被利用,這提醒我們安全啟動中的缺陷仍然存在,我們將來可能會看到更多與安全啟動相關的惡意活動。」一份聲明。
這消息曝光之際,微軟已經 面臨批評 審查委員會最近的一份報告介紹了其安全實踐 網絡安全(CSRB) 呼籲該公司沒有採取足夠措施來阻止由被追蹤為 Storm 的中國威脅組織策劃的網路間諜活動。去年-0558。
它也遵循公司的決定 發布根本原因數據 使用常見弱點枚舉 (CWE) 行業標準來尋找安全漏洞。但值得注意的是,這些變更僅適用於 2024 年 XNUMX 月發布的建議。
Rapid7 首席軟體工程師 Adam Barnett 在與 The Hacker News 分享的聲明中表示:“將 CWE 評估添加到 Microsoft 的安全諮詢中有助於確定漏洞的總體根本原因。”
「CWE 計劃最近更新了關於 將 CVE 映射到 CWE 根本原因 。分析CWE 趨勢可以幫助開發人員透過改進軟體開發生命週期(SDLC) 工作流程和測試來減少未來發生的情況,並幫助防禦者了解在何處指導縱深防禦工作並強化開發以獲得更好的投資回報。 」
在相關開發中,網路安全公司 Varonis 公開了攻擊者可以採用的兩種方法來繞過審核日誌並避免在從 SharePoint 匯出檔案時觸發下載事件。
第一種方法利用SharePoint 的「在應用程式中開啟」功能來存取和下載文件,而第二種方法則使用Microsoft SkyDriveSync 的使用者代理來下載文件甚至整個網站,從而將此類事件錯誤分類為文件同步而不是下載。
“這些技術可以透過將下載偽裝成不太可疑的存取和同步事件,繞過傳統工具的檢測和執行策略,例如雲端存取安全代理、資料遺失防護和 SIEM。” 他說 埃里克·薩拉加.
第三方軟體修復
除了微軟之外,其他廠商最近幾週也發布了安全性更新來修復多個漏洞,包括:
- 土磚
- AMD
- Android
- C++ 的 Apache XML 安全性
- 阿魯巴網絡
- 使徒行傳
- 博世
- 思科
- D-Link的
- 戴爾
- Drupal的
- F5
- Fortinet公司
- 極限運動
- GitLab
- 谷歌瀏覽器
- Google雲端
- 谷歌 Pixel
- 海康威視
- 日立能源
- HP
- 惠普企業
- HTTP / 2
- IBM
- 伊万蒂
- 詹金斯
- 聯想
- LG WebOS
- Linux發行版 Debian, Oracle Linux, 紅帽, SUSE和 Ubuntu
- 聯發科
- Mozilla Firefox、Firefox ESR 與 Thunderbird
- NETGEAR
- NVIDIA
- 高通公司
- 羅克韋爾自動化
- 銹
- Samsung
- SAP
- 施耐德電氣
- 西門子
- Splunk的
- 群暉
- VMware的
- WordPress
- Zoom