Η Microsoft 記録を修正するために 2024 年 XNUMX 月のセキュリティ更新プログラムをリリースしました 149 件の欠陥 、そのうちの 2 つは実際に積極的に悪用されています。
149 件の欠陥のうち、142 件が重大度、XNUMX 件が重要、XNUMX 件が中度、XNUMX 件が低重大度と評価されています。アップデートは論外 21 件の脆弱性 のリリース後、同社は Chromium ベースの Edge ブラウザで直面した問題に直面しました。 2024 年 XNUMX 月火曜日のパッチ修正 .
積極的に悪用されている 2 つの欠陥は次のとおりです。
- CVE-2024-26234 (CVSS スコア: 6,7) – プロキシ ドライバーのなりすましの脆弱性
- CVE-2024-29988 (CVSS スコア: 8,8) – SmartScreen Prompt セキュリティ機能バイパスの脆弱性
Microsoft のアドバイザリーでは、この問題に関する情報は提供されていません。 CVE-2024-26234、サイバー会社安全ソフォスは、2023 年 XNUMX 月に、以下のような悪意のある実行可能ファイル (「Catalog.exe」または「Catalog Authentication Client Service」) を発見したと発表しました。 署名済み 有効な Microsoft Windows ハードウェア互換性発行元 ( WHCP ) 証明書。
Authenticode 分析 バイナリの内容から、元の要求元の発行者が海南友胡科技有限公司であることが明らかになりました。 Ltd は、LaiXi Android Screen Mirroring という別のツールの発行者でもあります。
後者は、「何百もの携帯電話を接続してバッチで制御し、グループのフォロー、いいね、コメントなどのタスクを自動化できるマーケティング ソフトウェア」と説明されています。
想定される認証サービス内には、と呼ばれるコンポーネントがあります。 3プロキシ これは、感染したシステム上のネットワーク トラフィックを監視および傍受するように設計されており、事実上バックドアとして機能します。
「LaiXi開発者が意図的に悪意のあるファイルを製品に組み込んだこと、あるいは脅威アクターがサプライチェーン攻撃を行ってLaiXiアプリケーションのビルド/構築プロセスに悪意のあるファイルを注入したことを示唆する証拠はありません。」 彼は言いました ソフォスの研究者、アンドレアス クロプシュ氏。 。
同社はまた、5年2023月XNUMX日までにバックドアの他の亜種が複数存在することを発見したと発表しており、少なくともその頃からキャンペーンが実施されていたことを示している。その後、Microsoft は関連ファイルをリコール リストに追加しました。
「このセキュリティ機能バイパスの脆弱性を悪用するには、攻撃者はユーザーインターフェイスを表示しないことを要求するランチャーを使用して悪意のあるファイルを起動するようユーザーを誘導する必要がある」とMicrosoftは述べた。
「電子メールまたはインスタント メッセージング攻撃のシナリオでは、攻撃者はリモート コード実行の脆弱性を悪用するように設計された特別に細工されたファイルを標的のユーザーに送信する可能性があります。」
ゼロデイ・イニシアチブ 明らかに Microsoft はこの脆弱性を「悪用の可能性が最も高い」と評価していますが、実際にこの欠陥が悪用された証拠があります。
もう一つの重要な問題は脆弱性です CVE-2024-29990 (CVSS スコア: 9.0)、Microsoft Azure Kubernetes Service Container Confidential に影響を与える特権昇格の欠陥で、認証されていない攻撃者が悪用して資格情報を盗む可能性があります。
「攻撃者は、信頼できない AKS Kubernetes ノードと AKS Confidential Container にアクセスして、バインドされている可能性のあるネットワーク スタックを超えて機密のゲストとコンテナーを乗っ取る可能性があります」と Redmond 氏は述べています。
全体として、このリリースは最大 68 件のリモート コード実行、31 件の権限昇格、26 件のセキュリティ機能バイパス、および 24 件のサービス拒否 (DoS) バグに対処していることが注目に値します。興味深いことに、26 件のセキュリティ バイパス エラーのうち XNUMX 件がセキュア ブートに関連しています。
「これらの脆弱性はどれもありませんが、 安全な立ち上げ 今月対処された問題は実際には悪用されておらず、セキュア ブートの欠陥が依然として存在し、将来的にセキュア ブート関連の悪意のある活動がさらに発生する可能性があることを思い出させるものとなっています」と Tenable のシニア スタッフ リサーチ エンジニア、サナム ナラン氏は述べています。声明。
この啓示はマイクロソフトが行ったように行われた 批判に直面する 審査委員会からの最近の報告書をもとに、そのセキュリティ慣行に関する サイバーセキュリティ(CSRB) は、Storm として追跡されている中国の脅威アクターによって組織されたサイバースパイ活動を阻止するのに十分な措置を講じていないとして同社を非難した。昨年は-0558。
これは、次のような会社の決定にも従うものです。 根本原因データを公開する Common Weakness Enumeration (CWE) 業界標準を使用してセキュリティ上の欠陥を検出します。ただし、この変更は 2024 年 XNUMX 月以降に公開されるアドバイザリからのみ適用されることに注意してください。
「Microsoft のセキュリティ勧告に CWE 評価を追加することで、脆弱性の全体的な根本原因を特定するのに役立ちます」と、Rapid7 の主任ソフトウェア エンジニアである Adam Barnett 氏は The Hacker News と共有した声明の中で述べています。
「CWE プログラムは最近、次のガイドラインを更新しました。 CVE を CWE 根本原因にマッピングする 。 CWE の傾向を分析することは、開発者がソフトウェア開発ライフ サイクル (SDLC) ワークフローとテストの改善を通じて将来の発生を減らすのに役立つだけでなく、防御者が多層防御の取り組みをどこに向けるべきかを理解し、投資収益率を高めるために開発を強化するのに役立ちます。」
関連する開発で、サイバーセキュリティ企業 Varonis は、攻撃者が監査ログをバイパスし、SharePoint からファイルをエクスポートする際のダウンロード イベントのトリガーを回避するために採用できる 2 つの方法を公開しました。
1 つ目のアプローチでは、SharePoint の「アプリで開く」機能を利用してファイルにアクセスしてダウンロードしますが、2 つ目では、Microsoft SkyDriveSync のユーザー エージェントを使用してファイルまたはサイト全体をダウンロードし、そのようなイベントをダウンロードではなくファイル同期として誤分類します。
「これらの技術は、ダウンロードをそれほど疑わしいアクセスや同期イベントとして偽装することで、クラウド アクセス セキュリティ ブローカー、データ損失防止、SIEM などの従来のツールの検出と適用ポリシーをバイパスできます。」 彼は言った エリック・サラガ。
サードパーティ製ソフトウェアの修正
Microsoft に加えて、ここ数週間で他のベンダーからも次のようないくつかの脆弱性を修正するセキュリティ アップデートがリリースされました。
- Adobe
- AMD
- Android
- C++ 用の Apache XML セキュリティ
- アルバネットワークス
- アトス
- ボッシュ
- Cisco
- D-リンク
- デル
- Drupal
- F5
- フォーティネット
- フォートラ
- GitLab
- Google Chrome
- Googleクラウド
- Googleのピクセル
- のHikvision
- 日立エナジー
- HP
- HPエンタープライズ
- HTTP / 2
- IBM
- イヴァンティ
- ジェンキンズ
- レノボ
- LGウェブOS
- Linuxディストリビューション Debianの, Oracle Linux, レッドハット, SUSE, Ubuntu
- テック
- Mozilla Firefox、Firefox ESR、および Thunderbird
- NETGEAR
- NVIDIA
- クアルコム
- ロックウェル·オートメーション
- さび
- サムスン
- SAP
- シュナイダーエレクトリック
- ジーメンス
- Splunk
- Synologyの
- ヴイエムウェア
- WordPress
- Zoom
