- Tämän kuukauden Patch Tuesday -tapahtuma tuo käyttäjille kaikkialla yhteensä 67 korjausta.
- Lähes puolet laastareista julkaistiin ratkaista tietokoneen käyttöoikeusongelmat.
- EMielivaltaisen koodin käyttäminen uhrin tietokoneella on myös nyt korjattu ongelma.
- Myös Microsoft Officen MSHTML -komponenttia hyödynnetään aktiivisesti.
Redmond-yhtiön säännöllinen päivitys on tässä kuussa erittäin tärkeä, kun yritys julkaisee korjauksen kriittiseen vakavuuteen.
Tähän viitataan tällä hetkellä sen haavoittuvuuden nimitysviitteellä CVE-2021-40444.
Tiedämme myös, että sitä hyödynnetään parhaillaan Office -asiakirjoissa sekä merkittäviä korjauksia Microsoftin tuotteisiin ja pilvipalveluihin.
Microsoft korjaa tietoturvaloukkaukset Patch Tuesdayn kautta
Tämän kuukauden Patch Tuesday -tapahtuman aikana Microsoft julkaisi yhteensä 67 korjausta monille tuotteilleen.
Suurin määrä korjauksia, joka on 27, oli korjata ongelmia, joita hyökkääjä saattoi käyttää oman käyttöoikeustason nostamiseen tietokoneessa.
Jos mietit toiseksi suurinta lukua, joka on tässä tapauksessa 14, ota huomioon hyökkääjän kyky suorittaa mielivaltainen koodi uhrin tietokoneella.
On tärkeää tietää, että kaikki kriittiset haavoittuvuudet paitsi yksi kuuluvat koodin etäkäyttöön.
Tämä sisältää -40444 -virheen, jonka lempinimi oli Microsoftin MSHTML -koodin suorituksen etähaavoittuvuus.
Ei-RCE-kriittinen haavoittuvuus on tietojen paljastumisvirhe, joka vaikuttaa Azure Sphere (CVE-2021-36956), Microsoftin luoma alusta, jonka tarkoituksena on lisätä suojauskerros esineiden Internet (IoT) -laitteisiin.
Tekninen jättiläinen korjasi myös joitain ikäviä vikoja, jotka vaikuttivat Edge -selaimeen sekä Android- että iOS -alustoilla.
Näiden laitteiden selaimen käyttäjien on välttämättä hankittava kiinteät versiot osoitteesta laitteeseensa soveltuva sovelluskauppa, jotka molemmat ovat Microsoftin kuvaaman haavoittuvuuden alaisia huijaus.
Windowsiin itse vaikuttavat kriittiset haavoittuvuudet (CVE-2021-36965 ja CVE-2021-26435) koskevat WLAN AutoConfig Service -nimistä osaa.
Jos et tiennyt, tämä on osa mekanismia, jonka avulla Windows 10 valitsee langattoman verkon, johon tietokone muodostaa yhteyden, ja Windowsin komentosarjamoduuliin.
Microsoft ei toimittanut lisätietoja ennen korjaustiedon julkaisupäivää mekanismista, jolla nämä viat suorittavat koodin järjestelmässä.
Redmond -kehittäjät ratkaisevat valtavan Office -virheen tässä kuussa
Kun tämä vika löydettiin ja siitä tuli julkinen tieto 7. syyskuuta, tietoturvatutkijat ja analyytikot alkoivat vaihtaa esimerkkejä esimerkkeistä siitä, miten hyökkääjä voisi hyödyntää hyväksikäyttöä.
Valitettavasti tämän virheen korkea profiili tarkoittaa, että hyökkääjät ovat huomanneet ja todennäköisesti alkavat hyödyntää haavoittuvuutta.
Tämä ilkeä virhe sisältää Microsoft Officen MSHTML -komponentin, joka voi tehdä selainsivut Office -asiakirjan yhteydessä.
Hyökkääjä luo virheen hyväksikäytössä haitallisen ActiveX-komponentin ja sitten upottaa koodin Office -asiakirjaan, joka kutsuu ActiveX -komponentin, kun asiakirja avataan tai esikatseltu.
Hyökkäyksen vaiheet ovat yleisesti ottaen:
- Target vastaanottaa .docx- tai .rtf Office -asiakirjan ja avaa sen
- Asiakirja hakee etä -HTML -koodin haitallisesta verkko -osoitteesta
- Haitallinen verkkosivusto toimittaa .CAB -arkiston kohteen tietokoneelle
- Hyödyntäminen käynnistää suoritettavan tiedoston .CAB: n sisältä (yleensä nimetty .INF -tunnisteella)
Haitallinen komentosarja käyttää sisäänrakennettua käsittelijää .cpl tiedostoja (Windowsin Ohjauspaneeli), jotta voit suorittaa .cab -tiedostosta puretun .inf -laajennuksen (joka on itse asiassa haittaohjelma .dll).
Monet ihmiset eivät ole vain luoneet toiminnallisia todisteita (PoC), vaan muutamat ovat luoneet ja julkaisseet rakennustyökaluja, joita kuka tahansa voi käyttää Office-asiakirjan aseistamiseen.
Hyödyntämisen alkuperäinen versio käytti Microsoft Wordia.docx asiakirjoja, mutta olemme jo havainneet joitain versioita, jotka käyttävät.rtf tiedostopääte.
Hyökkääjät käyttävät tekniikoita paitsi .exe -tiedostojen käynnistämiseen myös haitallisiin .dll -tiedostoihin käyttämällä rundll32 -tiedostoa. Ei ole syytä uskoa, että hyväksikäyttö ei laajenna niiden valikoimaa myös muihin Office -asiakirjalajeihin.
On hyvä tietää, että Redmondin virkamiehet tekevät parhaansa pitääkseen meidät turvassa, mutta tämä on yhteistä työtä, joten meidän on myös tehtävä osamme.
Mitä mieltä olet tämän kuukauden Patch Tuesday -päivityksistä? Jaa mielipiteesi kanssamme alla olevissa kommenttiosioissa.
