Η Microsoft ha rilasciato aggiornamenti di sicurezza per il mese di aprile 2024 per correggere un record 149 difetti , due dei quali sono stati attivamente sfruttati in natura.
Dei 149 difetti, tre sono classificati come critici, 142 come importanti, tre come moderati e uno come severità bassa. L'aggiornamento è fuori questione 21 vulnerabilità affrontato dall'azienda nel suo browser Edge basato su Chromium dopo il rilascio di di marzo martedì 2024 correzioni della patch .
Le due carenze che sono state attivamente sfruttate sono le seguenti:
- CVE-2024-26234 (Punteggio CVSS: 6,7) – Vulnerabilità di spoofing del driver proxy
- CVE-2024-29988 (Punteggio CVSS: 8,8) – Le funzionalità di sicurezza SmartScreen Prompt ignorano la vulnerabilità
Sebbene l'avviso di Microsoft non fornisca informazioni su CVE-2024-26234, la compagnia informaticasicurezzaSophos ha affermato di aver scoperto nel dicembre 2023 un eseguibile dannoso ("Catalog.exe" o "Catalog Authentication Client Service") che è firmato da un editore di compatibilità hardware Microsoft Windows valido ( WHCP ) certificato.
L'analisi Authenticode del codice binario ha rivelato l'editore richiedente originale a Hainan YouHu Technology Co. Ltd, che è anche l'editore di un altro strumento chiamato LaiXi Android Screen Mirroring.
Quest'ultimo è descritto come "un software di marketing... [che] può connettere centinaia di telefoni cellulari e controllarli in batch e automatizzare attività come seguire un gruppo, mettere mi piace e commentare".
All'interno del presunto servizio di autenticazione c'è un componente chiamato 3proxy che è progettato per monitorare e intercettare il traffico di rete su un sistema infetto, agendo effettivamente come una backdoor.
"Non abbiamo prove che suggeriscano che gli sviluppatori LaiXi abbiano intenzionalmente integrato il file dannoso nel loro prodotto, o che un autore di minacce abbia condotto un attacco alla catena di fornitura per inserirlo nel processo di creazione/creazione dell'applicazione LaiXi," ha detto Il ricercatore Sophos Andreas Klopsch. .
La società di sicurezza informatica ha inoltre affermato di aver scoperto diverse altre varianti della backdoor in circolazione entro il 5 gennaio 2023, indicando che la campagna è in corso almeno da allora. Da allora Microsoft ha aggiunto i file rilevanti alla sua lista di richiamo.
"Per sfruttare questa funzionalità di sicurezza e aggirare la vulnerabilità, un utente malintenzionato dovrebbe convincere un utente a lanciare file dannosi utilizzando un launcher che richiede che non venga visualizzata alcuna interfaccia utente", ha affermato Microsoft.
"In uno scenario di attacco tramite posta elettronica o messaggistica istantanea, un utente malintenzionato potrebbe inviare all'utente preso di mira un file appositamente predisposto progettato per sfruttare la vulnerabilità legata all'esecuzione di codice in modalità remota."
L'iniziativa Giorno Zero ha rivelato che esistono prove di sfruttamento della falla in natura, sebbene Microsoft l'abbia contrassegnata con una valutazione "Most Likely Exploitation".
Un’altra questione importante è la vulnerabilità CVE-2024-29990 (Punteggio CVSS: 9.0), un difetto di elevazione dei privilegi che colpisce il contenitore riservato del servizio Microsoft Azure Kubernetes che potrebbe essere sfruttato da aggressori non autenticati per rubare credenziali.
"Un utente malintenzionato può accedere al nodo AKS Kubernetes non attendibile e al contenitore AKS Confidential per assumere il controllo di guest e contenitori riservati oltre lo stack di rete a cui potrebbero essere vincolati", ha affermato Redmond.
Nel complesso, la versione è degna di nota per aver risolto fino a 68 esecuzioni di codice remoto, 31 escalation di privilegi, 26 bypass di funzionalità di sicurezza e sei bug Denial of Service (DoS). È interessante notare che 24 dei 26 errori di bypass della sicurezza sono correlati al Secure Boot.
“Mentre nessuna di queste vulnerabilità Secure Boot affrontati questo mese non sono stati sfruttati in natura, servono a ricordare che esistono ancora difetti in Secure Boot e che potremmo vedere più attività dannose legate a Secure Boot in futuro", ha affermato Satnam Narang, ingegnere di ricerca senior dello staff di Tenable in una dichiarazione.
La rivelazione arriva come ha fatto Microsoft affrontare le critiche sulle sue pratiche di sicurezza, con un recente rapporto del Board of Review Sicurezza informatica(CSRB) accusando l'azienda di non aver fatto abbastanza per prevenire una campagna di spionaggio informatico orchestrata da un attore cinese identificato come Storm. -0558 l'anno scorso.
Ne consegue anche la decisione dell'azienda di pubblicare i dati sulle cause principali per i difetti di sicurezza utilizzando lo standard di settore Common Weakness Enumeration (CWE). Tuttavia, vale la pena notare che le modifiche si applicano solo a partire dagli avvisi pubblicati a partire da marzo 2024.
"L'aggiunta delle valutazioni CWE all'avviso di sicurezza di Microsoft aiuta a identificare la causa principale di una vulnerabilità", ha affermato Adam Barnett, ingegnere capo del software presso Rapid7, in una dichiarazione condivisa con The Hacker News.
“Il programma CWE ha recentemente aggiornato le sue linee guida in merito mappatura dei CVE su una causa principale CWE . L’analisi delle tendenze CWE può aiutare gli sviluppatori a ridurre gli eventi futuri attraverso flussi di lavoro e test migliorati del ciclo di vita dello sviluppo software (SDLC), oltre ad aiutare i difensori a capire dove indirizzare gli sforzi di difesa in profondità e rafforzare lo sviluppo per un migliore ritorno sull’investimento”.
In uno sviluppo correlato, la società di sicurezza informatica Varonis ha esposto due metodi che gli aggressori potrebbero adottare per aggirare i registri di controllo ed evitare di attivare eventi di download durante l’esportazione di file da SharePoint.
Il primo approccio sfrutta la funzionalità "Apri in app" di SharePoint per accedere e scaricare file, mentre il secondo utilizza l'agente utente di Microsoft SkyDriveSync per scaricare file o addirittura interi siti, classificando erroneamente tali eventi come sincronizzazioni di file anziché download.
"Queste tecniche possono aggirare le policy di rilevamento e applicazione degli strumenti tradizionali, come i broker di sicurezza per l'accesso al cloud, la prevenzione della perdita di dati e i SIEM, camuffando i download come eventi di accesso e sincronizzazione meno sospetti," ha detto Eric Saraga.
Correzioni software di terze parti
Oltre a Microsoft, nelle ultime settimane sono stati rilasciati aggiornamenti di sicurezza anche da altri fornitori per correggere diverse vulnerabilità, tra cui:
- Adobe
- AMD
- Android
- Sicurezza XML Apache per C++
- Aruba Networks
- Atos
- Bosch
- Cisco
- D-Link
- conca
- Drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Chrome
- Google cloud
- Google Pixel
- Hikvision
- Energia Hitachi
- HP
- HP Enterprise
- HTTP / 2
- IBM
- Ivanta
- Jenkins
- Lenovo
- LG Web OS
- Distribuzioni Linux Debian, Oracle Linux, Red Hat, SUSEe Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR e Thunderbird
- NETGEAR
- NVIDIA
- Qualcomm
- Rockwell Automation
- Ruggine
- Samsung
- LINFA
- Schneider Electric
- Siemens
- Splunk
- Synology
- VMware
- WordPress
- Zoom
