Περιεχόμενα Άρθρου
Η Microsoft προτρέπει τους χρήστες των Windows να ενημερώσουν τα συστήματά τους αμέσως μετά την επιβεβαίωση τεσσάρων νέων τρωτών σημείων zero-day ως μέρος της ενημέρωσης κώδικα ασφαλείας του Νοεμβρίου. Μεταξύ πάνω από 90 ζητημάτων ασφαλείας που αναφέρθηκαν, δύο από αυτές τις μηδενικές ημέρες αξιοποιούνται ενεργά, θέτοντας σημαντικούς κινδύνους για τους χρήστες.
Κατανόηση των τρωτών σημείων zero-day
Η Microsoft έχει μια μοναδική οπτική για το τι συνιστά απειλή μηδενικής ημέρας, λαμβάνοντας υπόψη τόσο τις ευπάθειες που αποκαλύπτονται δημόσια όσο και αυτές που υφίστανται ενεργή επίθεση. Όπως τονίστηκε στην έκδοση του Patch Tuesday του Νοεμβρίου 2024, δύο από τις τέσσερις ευπάθειες που εντοπίστηκαν αποτελούν αντικείμενο εκμετάλλευσης.
CVE-2024-43451 είναι ιδιαίτερα αξιοσημείωτη. είναι μια ευπάθεια πλαστογράφησης αποκάλυψης κατακερματισμού του NT LAN Manager που θα μπορούσε να εκθέσει το πρωτόκολλο ελέγχου ταυτότητας NTLM. Σύμφωνα με τον Ryan Braunstein, επικεφαλής της ομάδας των επιχειρήσεων ασφαλείας στην Automox, το ελάττωμα απαιτεί την εκμετάλλευση της αλληλεπίδρασης των χρηστών. Συγκεκριμένα, οι χρήστες πρέπει να ανοίξουν ένα δημιουργημένο αρχείο που αποστέλλεται μέσω προσπαθειών phishing για να πετύχει η επίθεση. Όταν παραβιάζεται, αυτή η ευπάθεια επιτρέπει στους εισβολείς να ελέγχουν την ταυτότητα των χρηστών ως χρήστης λόγω της αποκάλυψης του κατακερματισμού NTLM, ο οποίος προορίζεται για την προστασία των κωδικών πρόσβασης.
Από την άλλη πλευρά, το CVE-2024-49039 είναι μια ευπάθεια προνομίων που ανυψώνει τον χρονοπρογραμματιστή εργασιών των Windows. Ο Henry Smith, ανώτερος μηχανικός ασφαλείας στο Automox, σημείωσε ότι αυτό το ελάττωμα εκμεταλλεύεται τις λειτουργίες Remote Procedure Call, επιτρέποντας σε έναν εισβολέα να αυξήσει τα προνόμιά του αφού αποκτήσει αρχική πρόσβαση σε ένα σύστημα Windows. Η ενημέρωση κώδικα παραμένει η πιο αξιόπιστη άμυνα έναντι αυτών των τρωτών σημείων, ειδικά επειδή ο λειτουργικός κώδικας εκμετάλλευσης κυκλοφορεί ήδη στη φύση.
Οι κρίσιμες ευπάθειες βαθμολογήθηκαν με 9,8 σοβαρότητα
Προσθέτοντας στον συναγερμό, δύο ευπάθειες έχουν βαθμολογηθεί με 9,8 στο Common Vulnerability Scoring System, υποδεικνύοντας τον πιθανό αντίκτυπό τους. Το CVE-2024-43498 επηρεάζει τις εφαρμογές ιστού .NET, επιτρέποντας σε απομακρυσμένους εισβολείς χωρίς έλεγχο ταυτότητας να εκμεταλλεύονται την εφαρμογή μέσω κακόβουλων αιτημάτων. Εν τω μεταξύ, το CVE-2024-43639 στοχεύει τα Windows Kerberos, επιτρέποντας σε μη εξουσιοδοτημένους εισβολείς να εκτελούν κώδικα μέσω των ίδιων διανυσμάτων χωρίς έλεγχο ταυτότητας.
Η κύρια εστίαση, ωστόσο, θα πρέπει να επικεντρωθεί σε δύο τρωτά σημεία ασφαλείας με κρίσιμη βαθμολογία 9,8 στην κλίμακα σοβαρότητας των επιπτώσεων, σύμφωνα με τον Tyler Reguly, αναπληρωτή διευθυντή για την έρευνα και την ανάπτυξη ασφάλειας στο Fortra. “Ενώ το κοινό σύστημα βαθμολόγησης ευπάθειας δεν είναι δείκτης κινδύνου”, Reguly είπε“οι βαθμολογίες που είναι 9,8 είναι συχνά αρκετά ενδεικτικές για το πού βρίσκεται το πρόβλημα.”
Δεδομένης της σοβαρότητας αυτών των τρωτών σημείων, η Microsoft τονίζει τη σημασία της εφαρμογής ενημερώσεων ασφαλείας, ιδιαίτερα για χρήστες που χρησιμοποιούν Windows, Office, SQL Server, Exchange Server, .NET και Visual Studio. Ο Chris Goettl, αντιπρόεδρος διαχείρισης προϊόντων ασφαλείας στην Ivanti, σημείωσε ότι η ενημέρωση κώδικα θα πρέπει να αποτελεί προτεραιότητα λόγω της γνωστής και ενεργά εκμεταλλευόμενης φύσης αυτών των τρωτών σημείων.
Παρακολούθηση πρόσφατων επιθέσεων και τρωτών σημείων
Οι ανησυχίες της Microsoft ενισχύονται από πρόσφατα περιστατικά όπου Ρώσοι χάκερ εκμεταλλεύτηκαν ευπάθειες στα συστήματά τους για επιθέσεις που στοχεύουν ειδικά ουκρανικές οντότητες. Αυτό υπογραμμίζει τις ευρύτερες επιπτώσεις αυτών των τρωτών σημείων πέρα από απλά ζητήματα λογισμικού. Οι ερευνητές ασφαλείας του ClearSky ανέφεραν ότι η ευπάθεια αποκάλυψης κατακερματισμού NTLM (CVE-2024-43451) χρησιμοποιήθηκε για την κλοπή κατακερματισμών NTLMv2 μέσω σχημάτων phishing, ενεργοποιώντας μια ακολουθία που επέτρεπε στους εισβολείς να αποκτήσουν απομακρυσμένη πρόσβαση σε παραβιασμένα συστήματα.
Χρησιμοποιώντας επεξεργασμένους υπερσυνδέσμους σε μηνύματα ηλεκτρονικού ψαρέματος, οι εισβολείς ανάγκασαν τους χρήστες να αλληλεπιδράσουν με κακόβουλα αρχεία, ενεργοποιώντας την ευπάθεια που συνδέεται με έναν διακομιστή ελεγχόμενο από τους εισβολείς. Αυτό υπογραμμίζει την επιτακτική ανάγκη για τους χρήστες να παραμείνουν σε επαγρύπνηση και να αναφέρουν ύποπτες επικοινωνίες.
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) πρόσθεσε το CVE-2024-43451 στον Κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών, επιβάλλοντας στους οργανισμούς να προστατεύουν τα ευάλωτα συστήματά τους έως τις αρχές Δεκεμβρίου. Όπως ανέφερε η CISA, τέτοιες ευπάθειες συχνά χρησιμεύουν ως φορείς επίθεσης για κακόβουλους κυβερνοχώρους και θέτουν μεγάλους κινδύνους, ιδιαίτερα εντός ομοσπονδιακών δικτύων.
Οπλισμένοι με τη γνώση αυτών των τρωτών σημείων, οι χρήστες καλούνται να ενεργήσουν άμεσα. Η ενημέρωση της Microsoft για την Τρίτη του Νοεμβρίου είναι ένα απαραίτητο βήμα για τον μετριασμό των κινδύνων που σχετίζονται με ελαττώματα που ανακαλύφθηκαν πρόσφατα. Καθώς τα υβριδικά περιβάλλοντα εργασίας συνεχίζουν να θολώνουν τα όρια της κυβερνοασφάλειας, η τήρηση των βέλτιστων πρακτικών και η διασφάλιση έγκαιρων ενημερώσεων μπορεί να μειώσει δραστικά την έκθεση σε πιθανές απειλές.
Πίστωση επιλεγμένης εικόνας: Windows/Unsplash
VIA: DataConomy.com
