Microsoft heeft beveiligingsupdates uitgebracht voor de maand april 2024 om een recordaantal van 149 fouten te herstellen, waarvan er twee actief in het wild zijn uitgebuit.
Van de 149 tekortkomingen zijn er drie beoordeeld als kritiek, 142 als belangrijk, drie als matig en één als laag qua ernst. De update is afgezien van 21 kwetsbaarheden die het bedrijf heeft verholpen in zijn Chromium-gebaseerde Edge-browser na de release van de Patch Tuesday-fixes van maart 2024.
De twee tekortkomingen die onder actieve uitbuiting zijn gekomen, staan hieronder:
- CVE-2024-26234 (CVSS-score: 6,7) – Kwetsbaarheid voor spoofing van proxystuurprogramma's
- CVE-2024-29988 (CVSS-score: 8,8) – SmartScreen Prompt-beveiligingsfunctie omzeilt kwetsbaarheid
Hoewel het eigen advies van Microsoft geen informatie geeft over CVE-2024-26234, zei cyberbeveiligingsbedrijf Sophos dat het in december 2023 een kwaadaardig uitvoerbaar bestand (“Catalog.exe” of “Catalog Authentication Client Service”) ontdekte dat is ondertekend door een geldige Microsoft Windows Hardware Compatibility Publisher. (WHCP) certificaat.
Authenticode-analyse van het binaire bestand heeft de oorspronkelijke verzoekende uitgever onthuld aan Hainan YouHu Technology Co. Ltd, die ook de uitgever is van een andere tool genaamd LaiXi Android Screen Mirroring.
Dit laatste wordt beschreven als “een marketingsoftware … [that] kan honderden mobiele telefoons verbinden en deze in batches besturen, en taken automatiseren zoals batchgewijs volgen, liken en reageren.”
Binnen de vermeende authenticatieservice is een component aanwezig met de naam 3proxy, die is ontworpen om netwerkverkeer op een geïnfecteerd systeem te monitoren en te onderscheppen en effectief als achterdeur fungeert.
“We hebben geen aanwijzingen dat de LaiXi-ontwikkelaars het kwaadaardige bestand opzettelijk in hun product hebben ingesloten, of dat een bedreigingsactoren een supply chain-aanval hebben uitgevoerd om het in het compilatie-/bouwproces van de LaiXi-applicatie in te voegen”, aldus Sophos-onderzoeker Andreas Klopsch. .
Het cyberbeveiligingsbedrijf zei ook dat het meerdere andere varianten van de achterdeur in het wild heeft ontdekt die teruggaan tot 5 januari 2023, wat aangeeft dat de campagne in ieder geval sindsdien aan de gang is. Microsoft heeft sindsdien de relevante bestanden aan de intrekkingslijst toegevoegd.
Het andere beveiligingslek dat naar verluidt actief wordt aangevallen is CVE-2024-29988, dat – net als CVE-2024-21412 en CVE-2023-36025 – aanvallers in staat stelt de beveiliging van Microsoft Defender Smartscreen te omzeilen bij het openen van een speciaal vervaardigd bestand.
“Om deze beveiligingsfunctie te misbruiken om de kwetsbaarheid te omzeilen, zou een aanvaller een gebruiker moeten overtuigen om kwaadaardige bestanden te starten met behulp van een opstartprogramma dat vraagt om geen gebruikersinterface weer te geven”, aldus Microsoft.
“In een aanvalsscenario per e-mail of expresbericht kan de aanvaller de beoogde gebruiker een speciaal vervaardigd bestand sturen dat is ontworpen om misbruik te maken van het beveiligingslek met betrekking tot het uitvoeren van externe code.”
Het Zero Day Initiative onthulde dat er aanwijzingen zijn dat de fout in het wild wordt uitgebuit, hoewel Microsoft het heeft bestempeld met een beoordeling van “Exploitation More Likely”.
Een andere belangrijke kwetsbaarheid is CVE-2024-29990 (CVSS-score: 9,0), een fout met betrekking tot misbruik van bevoegdheden die van invloed is op de Microsoft Azure Kubernetes Service Confidential Container en die door niet-geverifieerde aanvallers kan worden misbruikt om inloggegevens te stelen.
“Een aanvaller heeft toegang tot het niet-vertrouwde AKS Kubernetes-knooppunt en de AKS Confidential Container om vertrouwelijke gasten en containers over te nemen buiten de netwerkstack waaraan hij mogelijk gebonden is”, aldus Redmond.
In totaal is de release opmerkelijk vanwege het aanpakken van maar liefst 68 uitvoering van externe code, 31 escalatie van bevoegdheden, 26 omzeiling van beveiligingsfuncties en zes denial-of-service (DoS) bugs. Interessant is dat 24 van de 26 beveiligingsfouten verband houden met Secure Boot.
“Hoewel geen van de Secure Boot-kwetsbaarheden die deze maand zijn aangepakt in het wild is uitgebuit, herinneren ze eraan dat fouten in Secure Boot blijven bestaan en dat we in de toekomst meer kwaadaardige activiteiten met betrekking tot Secure Boot kunnen zien”, zegt Satnam Narang, senior stafmedewerker. onderzoeksingenieur bij Tenable, zei in een verklaring.
De onthulling komt omdat Microsoft kritiek heeft gekregen vanwege zijn beveiligingspraktijken, met een recent rapport van de Amerikaanse Cyber Safety Review Board (CSRB) waarin het bedrijf wordt opgeroepen omdat het niet genoeg doet om een cyberspionagecampagne te voorkomen die wordt georkestreerd door een Chinese bedreigingsacteur, gevolgd als Storm. -0558 vorig jaar.
Het volgt ook de beslissing van het bedrijf om gegevens over de hoofdoorzaak van beveiligingsfouten te publiceren met behulp van de Common Weakness Enumeration (CWE) industriestandaard. Het is echter vermeldenswaard dat de wijzigingen pas van kracht worden vanaf de adviezen die sinds maart 2024 zijn gepubliceerd.
“De toevoeging van CWE-beoordelingen aan de beveiligingsadviezen van Microsoft helpt bij het opsporen van de algemene oorzaak van een kwetsbaarheid”, zegt Adam Barnett, hoofdsoftware-ingenieur bij Rapid7, in een verklaring gedeeld met The Hacker News.
“Het CWE-programma heeft onlangs zijn richtlijnen voor het in kaart brengen van CVE’s aan een CWE-hoofdoorzaak bijgewerkt. Analyse van CWE-trends kan ontwikkelaars helpen toekomstige gebeurtenissen te verminderen door verbeterde workflows en testen van de Software Development Life Cycle (SDLC) en verdedigers te helpen begrijpen waar ze naartoe moeten sturen diepgaande defensie- en inzetversterkende inspanningen voor het beste rendement op de investering.”
In een gerelateerde ontwikkeling heeft cyberbeveiligingsbedrijf Varonis twee methoden beschreven die aanvallers kunnen gebruiken om auditlogboeken te omzeilen en te voorkomen dat downloadgebeurtenissen worden geactiveerd terwijl bestanden uit SharePoint worden geëxfiltreerd.
De eerste benadering maakt gebruik van de “Open in App”-functie van SharePoint om bestanden te openen en te downloaden, terwijl de tweede de User-Agent voor Microsoft SkyDriveSync gebruikt om bestanden of zelfs hele sites te downloaden, terwijl gebeurtenissen als bestandssynchronisaties in plaats van downloads verkeerd worden gecategoriseerd.
Microsoft, dat in november 2023 op de hoogte werd gesteld van de problemen, heeft nog geen oplossing uitgebracht, hoewel deze zijn toegevoegd aan hun patch-achterstandprogramma. In de tussentijd wordt organisaties aanbevolen om hun auditlogboeken nauwlettend in de gaten te houden op verdachte toegangsgebeurtenissen, met name wanneer er in korte tijd grote hoeveelheden bestanden worden gedownload.
“Deze technieken kunnen het detectie- en handhavingsbeleid van traditionele tools, zoals beveiligingsmakelaars voor cloudtoegang, preventie van gegevensverlies en SIEM's, omzeilen door downloads te verbergen als minder verdachte toegangs- en synchronisatiegebeurtenissen”, aldus Eric Saraga.
Softwarepatches van andere leveranciers
Naast Microsoft zijn er de afgelopen weken ook beveiligingsupdates uitgebracht door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder: