Η Microsoft a publié des mises à jour de sécurité pour le mois d'avril 2024 pour corriger un record 149 défauts , dont deux ont été activement exploitées à l’état sauvage.
Sur les 149 défauts, trois sont classés critiques, 142 sont classés importants, trois sont classés modérés et un est classé de faible gravité. La mise à jour est hors de question 21 vulnérabilités rencontré par l'entreprise dans son navigateur Edge basé sur Chromium après la sortie de du correctif du mardi de mars 2024 .
Les deux lacunes qui ont été activement exploitées sont les suivantes :
- CVE-2024-26234 (score CVSS : 6,7) – Vulnérabilité d’usurpation du pilote proxy
- CVE-2024-29988 (score CVSS : 8,8) – Les fonctionnalités de sécurité de SmartScreen Prompt contournent la vulnérabilité
Bien que l'avis de Microsoft ne fournisse pas d'informations sur le CVE-2024-26234, la cyber-sociétéασφάλειαSophos a déclaré avoir découvert en décembre 2023 un exécutable malveillant (« Catalog.exe » ou « Catalog Authentication Client Service ») qui est signé auprès d'un éditeur de compatibilité matérielle Microsoft Windows valide ( PCH ) certificat.
L’analyse Authenticode du binaire a révélé l'éditeur demandeur d'origine à Hainan YouHu Technology Co. Ltd, qui est également l'éditeur d'un autre outil appelé LaiXi Android Screen Mirroring.
Ce dernier est décrit comme « un logiciel de marketing… [qui] peut connecter des centaines de téléphones mobiles et les contrôler par lots et automatiser des tâches telles que suivre un groupe, aimer et commenter ».
Au sein du service d'authentification supposé se trouve un composant appelé 3proxy qui est conçu pour surveiller et intercepter le trafic réseau sur un système infecté, agissant efficacement comme une porte dérobée.
"Nous n'avons aucune preuve suggérant que les développeurs de LaiXi ont intentionnellement intégré le fichier malveillant dans leur produit, ou qu'un acteur malveillant a mené une attaque sur la chaîne d'approvisionnement pour l'injecter dans le processus de création/construction de l'application LaiXi." il a dit Andreas Klopsch, chercheur chez Sophos. .
La société de cybersécurité a également déclaré avoir découvert plusieurs autres variantes de la porte dérobée dans la nature avant le 5 janvier 2023, indiquant que la campagne était en cours depuis au moins cette date. Microsoft a depuis ajouté les fichiers concernés à sa liste de rappel.
"Pour exploiter cette vulnérabilité de contournement des fonctionnalités de sécurité, un attaquant devrait convaincre un utilisateur de lancer des fichiers malveillants à l'aide d'un lanceur qui demande qu'aucune interface utilisateur ne soit affichée", a déclaré Microsoft.
"Dans un scénario d'attaque par courrier électronique ou par messagerie instantanée, un attaquant pourrait envoyer à l'utilisateur ciblé un fichier spécialement conçu pour exploiter la vulnérabilité d'exécution de code à distance."
L’Initiative Jour Zéro il a révélé qu'il existe des preuves d'exploitation de la faille dans la nature, bien que Microsoft l'ait signalée avec une note « Exploitation la plus probable ».
Un autre problème important est la vulnérabilité CVE-2024-29990 (score CVSS : 9.0), une faille d'élévation de privilèges affectant Microsoft Azure Kubernetes Service Container Confidential qui pourrait être exploitée par des attaquants non authentifiés pour voler des informations d'identification.
"Un attaquant peut accéder au nœud AKS Kubernetes non fiable et au conteneur confidentiel AKS pour prendre le contrôle d'invités et de conteneurs confidentiels au-delà de la pile réseau à laquelle ils peuvent être liés", a déclaré Redmond.
Dans l'ensemble, la version se distingue par la résolution de jusqu'à 68 exécutions de code à distance, 31 élévations de privilèges, 26 contournements de fonctionnalités de sécurité et six bogues de déni de service (DoS). Il est intéressant de noter que 24 des 26 erreurs de contournement de sécurité sont liées au démarrage sécurisé.
« Même si aucune de ces vulnérabilités DÉMARRAGE SÉCURISÉ abordés ce mois-ci n'ont pas été exploités dans la nature, ils rappellent que des failles dans Secure Boot existent toujours et que nous pourrions voir davantage d'activités malveillantes liées au Secure Boot à l'avenir », a déclaré Satnam Narang, ingénieur de recherche senior chez Tenable. une déclaration.
La révélation intervient alors que Microsoft l'a fait faire face à des critiques sur ses pratiques de sécurité, avec un récent rapport du Board of Review La cyber-sécurité(CSRB) accusant l'entreprise de ne pas en faire assez pour empêcher une campagne de cyberespionnage orchestrée par un acteur menaçant chinois identifié sous le nom de Storm. -0558 l'année dernière.
Cela fait également suite à la décision de l'entreprise de publier les données sur la cause première pour les failles de sécurité en utilisant la norme industrielle Common Weakness Enumeration (CWE). Il convient toutefois de noter que les changements ne s’appliquent qu’à partir des avis publiés à partir de mars 2024.
"L'ajout des évaluations CWE à l'avis de sécurité de Microsoft permet d'identifier la cause profonde globale d'une vulnérabilité", a déclaré Adam Barnett, ingénieur logiciel principal chez Rapid7, dans une déclaration partagée avec The Hacker News.
« Le programme CWE a récemment mis à jour ses directives sur mapper les CVE à une cause première CWE . L'analyse des tendances CWE peut aider les développeurs à réduire les événements futurs grâce à des flux de travail et des tests améliorés du cycle de vie du développement logiciel (SDLC), ainsi qu'à aider les défenseurs à comprendre où diriger les efforts de défense en profondeur et à renforcer le développement pour un meilleur retour sur investissement.
Dans un développement connexe, la société de cybersécurité Varonis a exposé deux méthodes que les attaquants pourraient adopter pour contourner les journaux d'audit et éviter de déclencher des événements de téléchargement lors de l'exportation de fichiers depuis SharePoint.
La première approche tire parti de la fonctionnalité « Ouvrir dans l'application » de SharePoint pour accéder et télécharger des fichiers, tandis que la seconde utilise l'agent utilisateur de Microsoft SkyDriveSync pour télécharger des fichiers ou même des sites entiers, classant à tort ces événements comme des synchronisations de fichiers au lieu de téléchargements.
"Ces techniques peuvent contourner les politiques de détection et d'application des outils traditionnels, tels que les courtiers en sécurité d'accès au cloud, la prévention des pertes de données et les SIEM, en déguisant les téléchargements en événements d'accès et de synchronisation moins suspects." il a dit Éric Saraga.
Correctifs de logiciels tiers
Outre Microsoft, des mises à jour de sécurité ont également été publiées par d'autres fournisseurs ces dernières semaines pour corriger plusieurs vulnérabilités, notamment :
- Adobe
- AMD
- Android
- Sécurité XML Apache pour C++
- Réseaux Aruba
- Atos
- Bosch
- Cisco
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Fortra
- gitlab ce
- Google Chrome
- Google Cloud
- Google Pixel
- Hikvision
- Hitachi Énergie
- HP
- HP Enterprise
- HTTP / 2
- IBM
- Ivanti
- Jenkins
- Lenovo
- WebOS de LG
- Distributions Linux Debian, Oracle Linux, Red Hat, SUSEet la Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR et Thunderbird
- NETGEAR
- NVIDIA
- Qualcomm
- Rockwell Automation
- Calme
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- VMware
- Outils de gestion
- Zoom
