Microsoft je izbacio zakrpu za maj 2023. godine kako bi riješio 38 sigurnosnih propusta, uključujući jednu Zero Day grešku za koju je rekao da se aktivno iskorištava u praksi.
Trend Micro Zero Day inicijativa (ZDI) saopštila je da je obim najniži od avgusta 2021. godine, iako se ističe da se “očekuje da će se taj broj povećati u narednim mjesecima”.
Od 38 ranjivosti, 6 je ocijenjeno kritičnim, a 32 ocijenjeno važnim po ozbiljnosti. Osam nedostataka je označeno Microsoft-ovom procjenom “Vjerovatno je eksploatacija”.
Ovo je osim 18 nedostataka, uključujući 11 grešaka od početka maja, koje je Windows riješio u svom Chromium baziranom Edge pretraživaču nakon objavljivanja aprilske zakrpe.
Na vrhu liste je CVE-2023-29336 (CVSS rezultat: 7,8), greška eskalacije privilegija u Win32k koja je bila pod aktivnom eksploatacijom. Nije odmah jasno koliko su napadi rašireni.
„Napadač koji je uspešno iskoristio ovu ranjivost mogao bi da dobije privilegije sistema“ rekao je Microsoft, odajući zasluge Avast istraživačima Janu Vojtěšeku, Milaneku i Luiginu Camastri za prijavu greške.
Razvoj je podstakao američku agenciju za kibernetičku bezbjednost i sigurnost infrastrukture (CISA) da doda propust u svoj katalog poznatih eksploatiranih ranjivosti (KEV), pozivajući organizacije da primjene ispravke dobavljača do 30. maja 2023. godine.
Takođe treba napomenuti dvije javno poznate mane, od kojih je jedna kritična greška u daljinskom izvršavanju koda koja utiče na Windows OLE (CVE-2023-29325, CVSS rezultat: 8.1) koju bi haker mogao iskoristiti slanjem posebno kreiranog email-a žrtvi.
Microsoft, kao ublažavanje, preporučuje korisnicima da čitaju email poruke u formatu običnog teksta kako bi se zaštitili od ove ranjivosti.
Druga javno poznata ranjivost je CVE-2023-24932 (CVSS rezultat: 6,7), zaobilaznica sigurnosne funkcije Secure Boot koja je naoružana BlackLotus UEFI bootkit-om za iskorištavanje CVE-2022-21894 (aka Baton Drop), što je riješeno u januaru 2022. godine.
„Ova ranjivost omogućava napadaču da izvrši samopotpisani kod na nivou Unified Extensible Firmware Interface-a (UEFI) dok je omogućeno bezbjedno pokretanje“ navodi Microsoft u odvojenim uputstvima.
“Ovo koriste hakeri prvenstveno kao mehanizam upornosti i izbjegavanja odbrane. Uspješno iskorištavanje se oslanja na to da napadač ima fizički pristup ili lokalne administratorske privilegije na ciljanom uređaju.”
Vrijedi napomenuti da je popravka koju je isporučio Microsoft onemogućena prema zadanim postavkama i zahtijeva od korisnika da ručno primjene opoziva, ali ne prije ažuriranja svih medija za pokretanje.
“Kada je ublažavanje ovog problema omogućeno na uređaju, što znači da su opozivi primijenjeni, ne može se vratiti ako nastavite da koristite Secure Boot na tom uređaju” upozorio je Microsoft. “Čak ni ponovno formatiranje diska neće ukloniti opoziva ako su već primijenjena.”
Tehnološki gigant je rekao da uzima fazni pristup kako bi u potpunosti isključio vektor napada kako bi se izbjegao nenamjerni rizik od poremećaja, što je vježba za koju se očekuje da će trajati do prvog kvartala 2024. godine.
„Moderne šeme bezbjednog pokretanja zasnovane na UEFI-u izuzetno su komplikovane za ispravnu konfiguraciju i/ili za značajno smanjenje njihove površine napada“ primetila je firma za bezbjednost firmware-a Binarly ranije ovog marta. “S obzirom na to, bootloader napadi vjerovatno neće nestati u skorije vrijeme.”
Izvor: The Hacker News