- Az e havi Patch Tuesday esemény mindenhol összesen 67 javítást hoz a felhasználókhoz.
- A javítások majdnem fele megjelent megoldja a felhasználói jogosultságokkal kapcsolatos problémákat számítógépen.
- EAz önkényes kód bevitele az áldozat számítógépén szintén megoldott probléma.
- A Microsoft Office MSHTML összetevőjét is aktívan kihasználják.
A redmondi cég rendszeres frissítési kuplungja ebben a hónapban a legnagyobb fontosságot kapja, mivel a vállalat kiad egy javítást egy kritikus súlyosságú hibához.
Erre jelenleg a CVE-2021-40444 számú biztonsági rés-hivatkozás hivatkozik.
Azt is tudjuk, hogy jelenleg kihasználják, az Office dokumentumokban, valamint a Microsoft termékek és felhőszolgáltatások jelentős javításait.
A Microsoft a Patch Tuesday segítségével javítja a biztonsági réseket
A havi Patch keddi esemény során a Microsoft összesen 67 javítást tett közzé számos termékéhez.
A legtöbb javítás (27) azoknak a problémáknak a javítására irányult, amelyekkel a támadó felhasználhatja saját jogosultsági szintjének növelését a számítógépen.
Ha kíváncsi a második legnagyobb számra, ami ebben az esetben 14, akkor foglalkozzon azzal, hogy a támadó képes önkényes kódot végrehajtani az áldozat számítógépén.
Fontos tudni, hogy a kritikus biztonsági rések egy kivételével a távoli kódvégrehajtás kategóriába tartoznak.
Ez magában foglalja a -40444 hibát, amelynek beceneve a Microsoft MSHTML távoli kódvégrehajtási biztonsági rés.
A nem RCE kritikus biztonsági rés egy információnyilvánítási hiba, amely hatással van Azure Sphere (CVE-2021-36956), a Microsoft által létrehozott platform, amely biztonsági réteget kíván hozzáadni a dolgok internete (IoT) eszközökhöz.
Az Edge böngészőt érintő néhány csúnya hibát Android és iOS platformon is kijavította a technikai óriás.
A böngésző felhasználóinak ezen eszközökön szükségszerűen meg kell szerezniük a fix verziókat a a megfelelő alkalmazásbolt az eszközükhöz, mindkettő a Microsoft által leírt biztonsági résnek van kitéve hamisítás.
A magát a Windowsot érintő kritikus biztonsági rések (CVE-2021-36965 és CVE-2021-26435) a WLAN AutoConfig Service nevű összetevőre vonatkoznak.
Ha nem tudta, ez része annak a mechanizmusnak, amelyet a Windows 10 használ a vezeték nélküli hálózat kiválasztásához, amelyhez a számítógép csatlakozik, illetve a Windows Scripting Engine -hez.
A Microsoft a javítás keddi kiadási határideje előtt nem nyújtott további információt arról, hogy ezek a hibák milyen kódot hajtanak végre a rendszeren.
A redmondi fejlesztők ebben a hónapban hatalmas Office -hibával foglalkoznak
Miután ezt a hibát szeptember 7-én felfedezték és közhírré váltak, a biztonsági kutatók és elemzők elkezdték felcserélni a koncepciót bizonyító példákat arra, hogy egy támadó hogyan használhatja ki a kizsákmányolást.
Sajnos, a hiba nagy tekintélye azt jelenti, hogy a támadók észrevették, és valószínűleg elkezdik kihasználni a biztonsági rést.
Ez a csúnya hiba magában foglalja a Microsoft Office MSHTML összetevőjét, amely képes megjeleníteni a böngészőoldalakat egy Office dokumentum kontextusában.
A hiba kihasználása során a támadó rosszindulatú ActiveX vezérlőt hoz létre, majd kódot ágyaz be egy Office -dokumentumba, amely meghívja az ActiveX -vezérlőt a dokumentum megnyitásakor, vagy előnézetben.
A támadás szakaszai általában:
- A Target megkap egy .docx vagy .rtf Office dokumentumot, és megnyitja azt
- A dokumentum eltávolítja a távoli HTML -t egy rosszindulatú webcímről
- A rosszindulatú webhely .CAB archívumot szállít a cél számítógépére
- A exploit egy futtatható fájlt indít el a .CAB -ból (általában .INF kiterjesztéssel)
A rosszindulatú parancsfájlok a beépített kezelőt használják .cpl fájlokat (Windows Vezérlőpult) a .cab fájlból kivont .inf kiterjesztéssel (ami valójában egy rosszindulatú .dll) való futtatáshoz.
Sokan nemcsak funkcionális koncepció-bizonyítási (PoC) kihasználásokat készítettek, hanem néhányan készítettek és publikáltak olyan építőeszközöket, amelyekkel bárki használhat egy Office-dokumentum fegyverzetét.
A exploit eredeti verziója a Microsoft Word -t használta.docx dokumentumokat, de már észrevettünk néhány verziót, amelyek ezt használják.rtf fájlkiterjesztések.
A támadók nemcsak az .exe fájlok, hanem a rosszindulatú .dll fájlok indítását is használják az rundll32 használatával. Nincs okunk azt hinni, hogy a kihasználás nem fogja kiterjeszteni tartományukat más Office -dokumentumtípusokra is.
Jó tudni, hogy a redmondi tisztségviselők mindent megtesznek, hogy biztonságban legyenek, de mindez közös erőfeszítésről szól, ezért nekünk is meg kell tennünk a részünket.
Mit gondol a havi Patch keddi frissítésekről? Ossza meg velünk véleményét az alábbi megjegyzések részben.