- Η εκδήλωση Patch Tuesday αυτού του μήνα φέρνει στους χρήστες παντού συνολικά 67 διορθώσεις.
- Σχεδόν τα μισά από τα έμπλαστρα που κυκλοφόρησαν αντιμετώπιση θεμάτων δικαιωμάτων χρήστη σε υπολογιστή.
- μιΗ διόρθωση αυθαίρετου κώδικα στον υπολογιστή ενός θύματος είναι επίσης ένα πρόβλημα που έχει διορθωθεί τώρα.
- Το στοιχείο MSHTML του Microsoft Office χρησιμοποιείται επίσης ενεργά.
Οι τακτικές ενημερώσεις της εταιρείας Redmond αποκτούν τη μεγαλύτερη σημασία αυτόν τον μήνα, καθώς η εταιρεία κυκλοφορεί μια διόρθωση για ένα σφάλμα κρίσιμης σοβαρότητας.
Αυτό αναφέρεται επί του παρόντος από την αναφορά χαρακτηρισμού ευπάθειας, CVE-2021-40444.
Γνωρίζουμε επίσης ότι αυτή τη στιγμή γίνεται εκμετάλλευση, σε έγγραφα του Office, καθώς και σημαντικές ενημερώσεις κώδικα για προϊόντα Microsoft και υπηρεσίες cloud.
Η Microsoft διορθώνει τις παραβιάσεις ασφαλείας μέσω του Patch Tuesday
Κατά τη διάρκεια της εκδήλωσης Patch Tuesday αυτού του μήνα, η Microsoft κυκλοφόρησε συνολικά 67 διορθώσεις για πολλά από τα προϊόντα της.
Ο μεγαλύτερος αριθμός διορθώσεων, που είναι 27, αφορούσε την επιδιόρθωση προβλημάτων που θα μπορούσε να χρησιμοποιήσει ένας εισβολέας για να αυξήσει το δικό του επίπεδο προνομίων σε έναν υπολογιστή.
Αν αναρωτιέστε για τον δεύτερο μεγαλύτερο αριθμό, ο οποίος στην περίπτωση αυτή είναι 14, εξετάστε την ικανότητα ενός εισβολέα να εκτελεί αυθαίρετο κώδικα στον υπολογιστή του θύματος.
Είναι σημαντικό να γνωρίζουμε ότι όλα τα κρίσιμα τρωτά σημεία εκτός από ένα εμπίπτουν στην κατηγορία Εκτέλεση απομακρυσμένου κώδικα.
Αυτό περιλαμβάνει το σφάλμα -40444, το οποίο είχε το παρατσούκλι Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα Microsoft MSHTML.
Η κρίσιμη ευπάθεια εκτός RCE είναι ένα σφάλμα αποκάλυψης πληροφοριών που επηρεάζει Azure Sphere (CVE-2021-36956), μια πλατφόρμα που δημιούργησε η Microsoft, η οποία προορίζεται να προσθέσει ένα επίπεδο ασφαλείας σε συσκευές Internet-of-Things (IoT).
Ορισμένα από τα δυσάρεστα σφάλματα που επηρεάζουν το πρόγραμμα περιήγησης Edge στις πλατφόρμες Android και iOS διορθώθηκαν επίσης από τον τεχνολογικό κολοσσό.
Οι χρήστες αυτού του προγράμματος περιήγησης σε αυτές τις συσκευές θα πρέπει, απαραίτητα, να λάβουν τις σταθερές εκδόσεις τους από το σχετικό κατάστημα εφαρμογών για τη συσκευή τους, και τα δύο υπόκεινται σε μια ευπάθεια που περιγράφει η Microsoft πλαστογράφηση
Τα κρίσιμα τρωτά σημεία που επηρεάζουν τα ίδια τα Windows (CVE-2021-36965 και CVE-2021-26435) ισχύουν για ένα στοιχείο που ονομάζεται Υπηρεσία αυτόματης διαμόρφωσης WLAN.
Εάν δεν το γνωρίζατε, αυτό είναι μέρος του μηχανισμού που χρησιμοποιεί τα Windows 10 για την επιλογή του ασύρματου δικτύου στον οποίο θα συνδεθεί ο υπολογιστής και στη Μηχανή δέσμης ενεργειών των Windows, αντίστοιχα.
Η Microsoft δεν παρείχε πρόσθετες πληροφορίες πριν από την προθεσμία κυκλοφορίας του Patch Tuesday σχετικά με τον μηχανισμό με τον οποίο αυτά τα σφάλματα εκτελούν κώδικα σε ένα σύστημα.
Οι προγραμματιστές του Redmond αντιμετωπίζουν το τεράστιο σφάλμα του Office αυτόν τον μήνα
Αφού αυτό το σφάλμα ανακαλύφθηκε και έγινε γνωστό στο κοινό στις 7 Σεπτεμβρίου, ερευνητές και αναλυτές ασφάλειας άρχισαν να ανταλλάσσουν παραδείγματα απόδειξης του τρόπου με τον οποίο ένας εισβολέας μπορεί να αξιοποιήσει την εκμετάλλευση.
Δυστυχώς, το υψηλό προφίλ αυτού του σφάλματος σημαίνει ότι οι εισβολείς θα έχουν λάβει γνώση και είναι πιθανό να αρχίσουν να εκμεταλλεύονται την ευπάθεια.
Αυτό το δυσάρεστο σφάλμα περιλαμβάνει το στοιχείο MSHTML του Microsoft Office, το οποίο μπορεί να αποδώσει σελίδες προγράμματος περιήγησης στο πλαίσιο ενός εγγράφου του Office.
Κατά την εκμετάλλευση του σφάλματος, ένας εισβολέας δημιουργεί ένα κακόβουλο χειριστήριο ελέγχου ActiveX και στη συνέχεια ενσωματώνει κώδικα σε ένα έγγραφο του Office που καλεί το στοιχείο ελέγχου ActiveX όταν ανοίγει το έγγραφο ή προεπισκόπηση
Τα στάδια της επίθεσης είναι, σε γενικές γραμμές:
- Ο στόχος λαμβάνει ένα .docx ή .rtf έγγραφο του Office και το ανοίγει
- Το έγγραφο καταργεί το απομακρυσμένο HTML από μια κακόβουλη διεύθυνση ιστού
- Ο κακόβουλος ιστότοπος παραδίδει ένα αρχείο .CAB στον υπολογιστή του στόχου
- Το exploit ξεκινά ένα εκτελέσιμο από το εσωτερικό του .CAB (συνήθως ονομάζεται με επέκταση .INF)
Το κακόβουλο σενάριο χρησιμοποιεί τον ενσωματωμένο χειριστή για .cpl αρχεία (Πίνακας Ελέγχου των Windows) για να εκτελέσετε το αρχείο με επέκταση .inf (η οποία είναι στην πραγματικότητα κακόβουλο .dll) που εξάγεται από το αρχείο .cab.
Πολλοί άνθρωποι δεν έχουν δημιουργήσει μόνο λειτουργικά τεκμήρια απόδειξης της ιδέας (PoC), αλλά μερικοί έχουν δημιουργήσει και δημοσιεύσει εργαλεία δημιουργίας που ο καθένας μπορεί να χρησιμοποιήσει για να οπλίσει ένα έγγραφο του Office.
Η αρχική έκδοση του exploit χρησιμοποίησε το Microsoft Word.docx έγγραφα, αλλά έχουμε ήδη εντοπίσει ορισμένες εκδόσεις που χρησιμοποιούν.rtf επεκτάσεις αρχείων.
Οι επιτιθέμενοι χρησιμοποιούν τις τεχνικές όχι μόνο για την εκκίνηση αρχείων .exe αλλά και κακόβουλων αρχείων .dll, χρησιμοποιώντας το rundll32. Δεν υπάρχει κανένας λόγος να πιστεύουμε ότι η εκμετάλλευση δεν θα επεκτείνει το εύρος τους και σε άλλους τύπους εγγράφων του Office.
Είναι καλό να γνωρίζουμε ότι οι αξιωματούχοι της Redmond κάνουν ό, τι καλύτερο μπορούν για να μας κρατήσουν ασφαλείς, αλλά όλα αυτά αφορούν μια κοινή προσπάθεια, οπότε πρέπει επίσης να κάνουμε τα μέρη μας.
Ποιες είναι οι σκέψεις σας για τις ενημερώσεις του Patch Tuesday αυτού του μήνα; Μοιραστείτε τη γνώμη σας μαζί μας στην παρακάτω ενότητα σχολίων.
