Microsoft-ovo izdanje zakrpe u utorak ovog mjeseca uključivalo je sigurnosnu nadogradnju za Zero-day ranjivost Windows koja se aktivno iskorištava u divljini.
Dotična greška, CVE-2023-28252, opisana je kao ranjivost na povećanje privilegija u upravljačkom programu Windows Common Log File System (CLFS).
Još uvijek nije otkriven dokaz koncepta za eksploataciju, tako da bi Microsoft-ovi korisnici trebali odmah zakrpiti, savjetovao je Mike Walters, potpredsjednik istraživanja ranjivosti i pretnji u Action1.
“Ova ranjivost ima nisku složenost i koristi lokalni vektor napada, zahtijevajući samo niske privilegije za iskorištavanje i nikakvu interakciju od strane korisnika. To utiče na verzije Windows Server-a od 2008. godine nadalje, kao i na sve verzije Windowsa 10” objasnio je.
“Ranjivost ima CVSS ocjenu rizika od 7,8 što je niže jer se može izvršiti samo lokalno. Međutim, i dalje predstavlja visok rizik od eskalacije privilegija jer napadač koji ga uspješno eksploatiše može dobiti sistemske privilegije.”
Dustin Childs, šef svijesti o pretnjama u Zero Day Initiative, dodao je da je sličan Zero Day zakrpljen u istoj Windows komponenti prije samo dva mjeseca.
“Za mene to implicira da je originalna popravka bila nedovoljna i napadači su pronašli metodu da zaobiđu tu popravku” dodao je.
“Kao i u februaru, nema informacija o tome koliko su ovi napadi rasprostranjeni. Ovaj tip eksploatacije je obično uparen s greškom u izvršavanju koda za širenje malicioznog softvera ili ransomware-a. Definitivno brzo testirajte i implementirajte ovu zakrpu.”
Bilo je ažuriranja za ukupno sedam ranjivosti koje su ocijenjene kritičnim, uključujući CVE-2023-21554, grešku u izvršavanju koda na daljinu u Microsoft Message Queuing-u koja je dobila CVSS ocjenu 9,8.
“Omogućava udaljenom napadaču koji nije autentifikovan da pokrene svoj kod s povišenim privilegijama na pogođenim serverima s omogućenom uslugom Message Queuing. Ova usluga je podrazumevano onemogućena, ali je obično koriste mnoge aplikacije kontakt centara” objasnio je Childs.
“Podrazumevano sluša TCP port 1801, tako da bi blokiranje ovoga na perimetru spriječilo vanjske napade. Međutim, nije jasno kakav uticaj to može imati na poslovanje. Vaša najbolja opcija je da testirate i implementirate ažuriranje.”
Izvor: Infosecurity Magazine