Microsoft řeší 73 jedinečných CVE v úterý opravy
Společnost Microsoft vyřešila 73 nových jedinečných CVE, z nichž dvě jsou potvrzeny jako zneužité, z nichž pět je hodnoceno jako kritické.
Kromě toho bylo znovu vydáno sedm CVE, z nichž jedno pochází z roku 2021 a bylo zveřejněno a využíváno v původním vydání. Opětovné vydání je pouze informativní, ale stojí za to se znovu podívat, abyste se ujistili, že jste pokryti.
Aktualizace společnosti Microsoft tento měsíc ovlivňují operační systém Windows, Office 365, Edge, Windows Defender, Sharepoint, SQL Server, Exchange Server, .Net (znovu vydáno), více komponent Azure a několik náhod.
Microsoft Zero-days
Tři CVE vydané nebo znovu vydané tento měsíc potvrdily zneužití ve volné přírodě.
Počínaje reedicí:
- Společnost Microsoft znovu vydala chybu zabezpečení týkající se spoofingu v instalačním programu Windows AppX (CVE-2021-43890). Opětovné vydání je informace pouze tento měsíc, ale pokud se podíváte na aktualizaci z 27. prosince 2023, můžete vidět, že Microsoft stále dostává zprávy a zvyšuje aktivitu využívající techniky phishingu k přesvědčení uživatelů, aby si stáhli a nainstalovali škodlivé instalační programy. Kromě aktualizace App Installer doporučujeme zkontrolovat zmírnění a zástupná řešení této chyby zabezpečení.
- Microsoft vyřešil chybu zabezpečení obejití funkce zabezpečení v souborech Internet Shortcut Files (CVE-2024-21412), která by mohla útočníkovi umožnit zacílit na uživatele speciálně vytvořený soubor určený k obcházení bezpečnostních kontrol. Tato chyba zabezpečení je společností Microsoft hodnocena jako důležitá a má skóre CVSS v3.1 8,1 – ale bylo potvrzeno, že je zneužita ve volné přírodě, takže by to mělo být považováno za kritickou prioritu. Tato chyba zabezpečení se týká všech verzí operačního systému Windows.
- Společnost Microsoft vyřešila chybu zabezpečení obejití funkce zabezpečení ve Windows SmartScreen (CVE-2024-21351), která by mohla umožnit útočníkovi odeslat uživateli škodlivý soubor, který může obejít značku identifikátoru webové zóny a obejít bezpečnostní opatření SmartScreen. Tato chyba zabezpečení má základní skóre CVSS v3.1 7,6 a společnost Microsoft ji ohodnotila jako středně závažnou, přestože bylo potvrzeno, že byla zneužita. Vzhledem k riziku zneužití se doporučuje považovat tuto chybu zabezpečení za kritickou prioritu. Tato chyba zabezpečení se týká všech verzí operačního systému Windows.
Další aktualizace
- Microsoft vyřešil chybu zabezpečení týkající se zvýšení oprávnění (Elevation of Privilege) na serveru Exchange Server (CVE-2024-21410), která by mohla útočníkovi umožnit získat SYSTEM oprávnění. Tato zranitelnost je hodnocena jako kritická a má základní skóre CVSS v3.1 9,8. Pokud jste dříve povolili ochranu předáváním pověření NTLM, zmírnili jste velkou část rizika tohoto typu zranitelnosti, ale společnost Microsoft doporučuje provést aktualizaci, aby se CVE plně vyřešila. Pokud jste nenainstalovali novější CU nebo nezapnuli rozšířenou ochranu pro ověřování, je to naléhavější. Pokud jste povolili funkce ověřování, riziko se sníží a tato aktualizace může fungovat běžným procesem aktualizace.
- Společnost Microsoft vyřešila chybu zabezpečení vzdáleného spuštění kódu (CVE-2024-21357), která by mohla umožnit útočníkovi zneužít kód ve stejném segmentu sítě nebo sousedním segmentu. Existují kroky, které by útočník musel podniknout v rámci přípravy. CVE byl hodnocen jako kritický, má základní skóre CVSS v3.1 7,5 a ovlivňuje operační systém Windows.
- Společnost Microsoft vyřešila chybu zabezpečení typu Denial of Service v systému Windows Hyper-V (CVE-2024-20684), která by mohla útočníkovi umožnit ovlivnit funkčnost hostitele Hyper-V z hosta Hyper-V. CVE je hodnocen jako kritický a má základní skóre CVSS v3.1 6,5. CVE ovlivňuje Windows 11 a Server 2022.
- Microsoft vyřešil chybu zabezpečení vzdáleného spuštění kódu v aplikaci Microsoft Outlook (CVE-2024-21413), která by mohla útočníkovi umožnit obejít chráněné zobrazení Office a spustit otevření škodlivého souboru v režimu úprav. CVE je hodnocen jako kritický a má základní skóre CVSS v3.1 9,8. Tato chyba zabezpečení existuje v Office 2016 a 2019, Office LTSC 2021 a 365 Apps for Enterprise. Nebezpečí tohoto CVE je zvýšeno tím, že podokno náhledu bude vektorem útoku; kromě RCE by útočník mohl také získat přístup k místním informacím o pověření NTLM ve zneužitém systému.
Aktualizace Ivanti Connect Secure, Policy Secure a ZTA Gateway
Ivanti má záplaty pro pět CVE, které ovlivňují jejich brány Ivanti Connect Secure, Ivanti Policy Secure a ZTA. Tři z těchto zranitelností byly zneužity a Ivanti vybízí zákazníky k okamžitému záplatování.
Další informace lze nalézt v a v aktualizaci od CISA doporučující opatření, která by organizace měly podniknout, vydané 9. února 2024.
Aktualizace třetích stran
Společnost Adobe vydala šest aktualizací včetně APSB24-07 pro Adobe Acrobat a Reader. Aktualizace Acrobat a Reader řeší 13 CVE, včetně tří kritických CVE, a je nejnaléhavější z vydaných aktualizací Adobe.
Aktualizujte priority
- Prioritou tohoto měsíce je Microsoft Windows. Zatímco všechny aktualizace vydané společností Microsoft byly hodnoceny jako kritické, aktualizace operačního systému řeší zranitelnosti Zero-day a snižuje bezprostřední rizika.
- Projděte si zranitelnost týkající se spoofingu v instalačním programu Windows AppX (CVE-2021-43890), abyste se ujistili, že máte zavedená zmírnění, protože stále existuje aktivita hrozeb zaměřená na tuto chybu zabezpečení.
- I když zranitelnost Microsoft Office není tento měsíc tak naléhavá jako operační systém, tuto zranitelnost nechcete nechat jen tak. Může to být lákavý cíl pro aktéry ohrožení, aby vyvinuli exploit.
- Organizace používající Exchange Server by si měly ověřit, že mají zapnutou rozšířenou ochranu pro ověřování, a zajistit, aby byla aktualizace Exchange Server tento měsíc nasazena v přiměřeném časovém rámci.
Zdroj: Ivanti