- Denne måneds Patch Tuesday -begivenhed bringer brugerne overalt i alt 67 rettelser.
- Næsten halvdelen af patches frigivet løse problemer med brugerrettigheder på en computer.
- EUdførelse af vilkårlig kode på et ofres computer er også et problem løst nu.
- MSHTML -komponenten i Microsoft Office udnyttes også aktivt.
Redmond-virksomhedens regelmæssige kobling af opdateringer får den største betydning i denne måned, da virksomheden frigiver en løsning på en fejl af kritisk alvor.
Dette henvises i øjeblikket til ved hjælp af referencebetegnelsesreferencen, CVE-2021-40444.
Vi ved også, at det i øjeblikket udnyttes i Office -dokumenter samt betydelige patches til Microsoft -produkter og cloud -tjenester.
Microsoft retter sikkerhedsbrud via Patch Tuesday
Under denne måneds Patch Tuesday -begivenhed frigav Microsoft i alt 67 rettelser til mange af sine produkter.
Det største antal rettelser, som er 27, var at reparere problemer, som en angriber kan bruge til at hæve deres eget privilegium på en computer.
Hvis du spekulerede på det næststørste tal, som i dette tilfælde er 14, adresser en angribers evne til at udføre vilkårlig kode på et ofrets computer.
Det er vigtigt at vide, at alle undtagen en af de kritiske sårbarheder falder ind under kategorien External Code Execution.
Dette inkluderer fejlen -40444, som fik tilnavnet Sårbarhed i Microsoft MSHTML fjernudførelse af kode.
Den ikke-RCE kritiske sårbarhed er en fejl i informationsoplysningerne, der påvirker Azure Sphere (CVE-2021-36956), en platform Microsoft har oprettet, der er beregnet til at tilføje et sikkerhedslag til Internet-of-Things (IoT) -enheder.
Nogle af de grimme fejl, der påvirker Edge -browseren på både Android- og iOS -platformene, blev også rettet af tech -giganten.
Brugere af denne browser på disse enheder skal nødvendigvis hente deres faste versioner fra relevante appbutik til deres enhed, som begge er udsat for en sårbarhed, som Microsoft beskriver som forfalskning.
De kritiske sårbarheder, der påvirker Windows selv (CVE-2021-36965 og CVE-2021-26435), gælder for en komponent kaldet WLAN AutoConfig Service.
Hvis du ikke vidste det, er dette en del af den mekanisme, som Windows 10 bruger til at vælge det trådløse netværk, som en computer vil oprette forbindelse til, henholdsvis til Windows Scripting Engine.
Microsoft leverede ingen yderligere oplysninger inden udgivelsesfristen for Patch Tuesday om den mekanisme, hvormed disse fejl udfører kode på et system.
Redmond -udviklere tackler kæmpe Office -fejl i denne måned
Efter at denne fejl blev opdaget og blev offentligt kendt den 7. september, begyndte sikkerhedsforskere og analytikere at bytte proof-of-concept-eksempler på, hvordan en angriber kan udnytte udnyttelsen.
Desværre betyder den høje profil af denne fejl, at angriberne vil have taget det til efterretning og sandsynligvis vil begynde at udnytte sårbarheden.
Denne grimme fejl involverer MSHTML -komponenten i Microsoft Office, som kan gengive browsersider i forbindelse med et Office -dokument.
Ved udnyttelse af fejlen opretter en angriber en ondsindet udformet ActiveX-kontrol og derefter integrerer kode i et Office -dokument, der kalder ActiveX -kontrollen, når dokumentet åbnes eller vist.
Angrebets faser er generelt set:
- Target modtager et .docx- eller .rtf Office -dokument og åbner det
- Dokumentet fjerner fjern -HTML fra en ondsindet webadresse
- Det ondsindede websted leverer et .CAB -arkiv til målets computer
- Udnyttelsen starter en eksekverbar fil indefra .CAB (normalt navngivet med en .INF -udvidelse)
Den ondsindede scripting bruger den indbyggede handler til .cpl filer (Windows Kontrolpanel) for at køre filen med en .inf -udvidelse (som faktisk er en ondsindet .dll) hentet fra .cab -filen.
Mange mennesker har ikke kun udformet funktionsdygtige proof-of-concept (PoC) bedrifter, men et par stykker har skabt og udgivet bygningsværktøjer, som alle kan bruge til at bevæbne et Office-dokument.
Den originale version af udnyttelsen brugte Microsoft Word.docx dokumenter, men vi har allerede set nogle versioner, der bruger.rtf filudvidelser.
Angribere bruger teknikkerne ikke kun til at starte .exe -filer, men også ondsindede .dll -filer ved hjælp af rundll32. Der er ingen grund til at tro, at udnyttelsen ikke også vil udvide deres rækkevidde til andre Office -dokumenttyper.
Det er godt at vide, at Redmond -embedsmænd gør det bedste, de kan, for at holde os sikre, men dette handler om en fælles indsats, så vi skal også gøre vores dele.
Hvad synes du om denne måneds opdateringer af Patch Tuesday? Del din mening med os i kommentarfeltet herunder.
