Microsoft nalega, aby użytkownicy systemu Windows natychmiast zaktualizowali swoje systemy po potwierdzeniu czterech nowych luk typu zero-day w ramach listopadowej poprawki zabezpieczeń. Spośród ponad 90 zgłoszonych problemów związanych z bezpieczeństwem dwa z nich są aktywnie wykorzystywane, stwarzając poważne ryzyko dla użytkowników.
Zrozumienie luk typu zero-day
Firma Microsoft ma unikalne spojrzenie na to, co stanowi zagrożenie dnia zerowego, biorąc pod uwagę zarówno luki, które są ujawniane publicznie, jak i te, które są aktywnie atakowane. Jak podkreślono w opublikowanej we wtorek aktualizacji z listopada 2024 r., obecnie wykorzystywane są dwie z czterech zidentyfikowanych luk.
CVE-2024-43451 jest szczególnie godny uwagi; jest to luka w zabezpieczeniach NT LAN Manager polegająca na fałszowaniu ujawnienia skrótu, która może ujawnić protokół uwierzytelniania NTLM. Według Ryana Braunsteina, kierownika zespołu ds. operacji bezpieczeństwa w Automox, luka wymaga wykorzystania interakcji użytkownika. W szczególności użytkownicy muszą otworzyć spreparowany plik wysłany w wyniku prób phishingu, aby atak się powiódł. W przypadku naruszenia luka ta umożliwia atakującym potencjalne uwierzytelnienie się jako użytkownik w wyniku ujawnienia skrótu NTLM, którego zadaniem jest ochrona haseł.
Z drugiej strony CVE-2024-49039 to luka w Harmonogramie zadań systemu Windows umożliwiająca podniesienie uprawnień. Henry Smith, starszy inżynier bezpieczeństwa w firmie Automox zauważył, że luka ta wykorzystuje funkcje zdalnego wywoływania procedur, umożliwiając osobie atakującej podniesienie swoich uprawnień po uzyskaniu wstępnego dostępu do systemu Windows. Łatanie pozostaje najbardziej niezawodną obroną przed tymi lukami, zwłaszcza że funkcjonalny kod exploita już krąży w środowisku naturalnym.
Krytyczne luki mają stopień ważności 9,8
Alarm pogłębia fakt, że dwie luki w zabezpieczeniach uzyskały ocenę 9,8 w systemie Common Vulnerability Scoring System, co wskazuje na ich potencjalny wpływ. CVE-2024-43498 wpływa na aplikacje internetowe .NET, umożliwiając nieuwierzytelnionym zdalnym atakującym wykorzystanie aplikacji za pomocą złośliwych żądań. Tymczasem CVE-2024-43639 atakuje protokół Kerberos systemu Windows, umożliwiając nieautoryzowanym osobom atakującym wykonanie kodu za pośrednictwem tych samych nieuwierzytelnionych wektorów.
Według Tylera Reguly’ego, zastępcy dyrektora ds. badań i rozwoju bezpieczeństwa w Fortra, główny nacisk należy jednak skupić na dwóch lukach w zabezpieczeniach, które w skali ważności wpływu uzyskały krytyczną ocenę 9,8. „Chociaż wspólny system punktacji podatności na ataki nie jest wskaźnikiem ryzyka”, Reguly powiedział„Wyniki wynoszące 9,8 często dobrze pokazują, gdzie leży problem”.
Biorąc pod uwagę wagę tych luk, Microsoft podkreśla znaczenie stosowania aktualizacji zabezpieczeń, szczególnie dla użytkowników korzystających z systemów Windows, pakietu Office, SQL Server, Exchange Server, .NET i Visual Studio. Chris Goettl, wiceprezes ds. zarządzania produktami zabezpieczającymi w Ivanti, zauważył, że łatanie powinno być priorytetem ze względu na znany i aktywnie wykorzystywany charakter tych luk.
Śledzenie ostatnich ataków i luk w zabezpieczeniach
Obawy Microsoftu potwierdzają niedawne incydenty, w których rosyjscy hakerzy wykorzystali luki w swoich systemach do ataków wymierzonych konkretnie w podmioty ukraińskie. Podkreśla to szersze konsekwencje tych luk, wykraczające poza zwykłe problemy z oprogramowaniem. Badacze bezpieczeństwa ClearSky zgłosili, że luka w zabezpieczeniach umożliwiająca ujawnienie skrótu NTLM (CVE-2024-43451) była wykorzystywana do kradzieży skrótów NTLMv2 za pomocą schematów phishingowych, uruchamiając sekwencję, która umożliwiała atakującym uzyskanie zdalnego dostępu do zaatakowanych systemów.
Wykorzystując spreparowane hiperłącza w wiadomościach phishingowych, napastnicy zmusili użytkowników do interakcji ze złośliwymi plikami, aktywując lukę umożliwiającą połączenie z serwerem kontrolowanym przez osobę atakującą. Podkreśla to pilną potrzebę zachowania przez użytkowników czujności i zgłaszania podejrzanych komunikatów.
Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) dodała CVE-2024-43451 do swojego katalogu znanych luk w zabezpieczeniach, nakazując organizacjom zabezpieczenie swoich podatnych na ataki systemów do początku grudnia. Jak stwierdziła CISA, takie luki często służą jako wektory ataków dla złośliwych cyberprzestępców i stwarzają ogromne ryzyko, szczególnie w sieciach federalnych.
Użytkownicy posiadający wiedzę na temat tych luk proszeni są o niezwłoczne działanie. Listopadowa aktualizacja Microsoftu we wtorek jest niezbędnym krokiem w celu ograniczenia ryzyka związanego z nowo wykrytymi wadami. Ponieważ w hybrydowych środowiskach pracy w dalszym ciągu zacierają się granice cyberbezpieczeństwa, przestrzeganie najlepszych praktyk i zapewnianie terminowych aktualizacji może drastycznie zmniejszyć narażenie na potencjalne zagrożenia.
Autor wyróżnionego obrazu: Windows/Odsplash