Microsoft je u utorak objavio ispravke za rešavanje ukupno 132 nova sigurnosna propusta u njegovom softveru, uključujući šest Zero-Day propusta za koje je rekao da su se aktivno iskorištavali u praksi.

Od 132 ranjivosti, devet je ocijenjeno kritičnim, 122 ocijenjeno važnim po ozbiljnosti, a jednoj je dodijeljena ocjena ozbiljnosti “None”. Ovo je dodatak osam nedostataka koje je tehnološki gigant zakrpio u svom Edge pretraživaču baziranom na Chromium-u krajem prošlog mjeseca.

Spisak problema koji su bili pod aktivnom eksploatacijom je sledeći:

• CVE-2023-32046 (CVSS rezultat: 7,8) – ranjivost na podizanje privilegija Windows MSHTML platforme
• CVE-2023-32049 (CVSS rezultat: 8,8) – Ranjivost zaobilaženja sigurnosne funkcije Windows SmartScreen
• CVE-2023-35311 (CVSS rezultat: 8,8) – Ranjivost zaobilaženja sigurnosnih funkcija Microsoft Outlook-a
• CVE-2023-36874 (CVSS rezultat: 7,8) – Ranjivost u vezi sa povećanjem privilegija usluge Windows Error Reporting Service
• CVE-2023-36884 (CVSS rezultat: 8.3) – Ranjivost udaljenog izvršavanja HTML koda za Office i Windows (Takođe javno poznato u vrijeme objavljivanja)
• ADV230001 – Maliciozno korištenje drajvera potpisanih od Microsoft-a za aktivnosti nakon eksploatacije (nije dodijeljen CVE)

Proizvođač Windows-a rekao je da je svjestan ciljanih napada na odbrambene i vladine entitete u Evropi i Sjevernoj Americi koji pokušavaju da iskoriste CVE-2023-36884 koristeći posebno izrađene Microsoft Office dokumente koji se odnose na Svjetski kongres Ukrajine, ponavljajući najnovije nalaze BlackBerry-a.

„Napadač bi mogao da kreira poseban dokument Microsoft Office-a koji mu omogućava da izvrši daljinsko izvršavanje koda u kontekstu žrtve“ rekao je Microsoft. “Međutim, napadač bi morao uvjeriti žrtvu da otvori maliciozni fajl.”

Kompanija je kampanju upada pripisala ruskoj kibernetičkoj kriminalnoj grupi koju prati kao Storm-0978, koja je takođe poznata pod imenima RomCom, Tropical Scorpius, UNC2596 i Void Rabisu.

“Haker takođe koristi Underground ransomware, koji je usko povezan s ransomware-om Industrial Spy koji je prvi put uočen u divljini u maju 2022. godine” objasnio je tim Microsoft Threat Intelligence-a. “Hakerova najnovija kampanja otkrivena u junu 2023. godine uključivala je zloupotrebu CVE-2023-36884 kako bi se isporučio backdoor sa sličnostima s RomCom-om.”

Nedavni phishing napadi koje je organizovao haker doveli su do upotrebe trojanizovanih verzija legitimnog softvera koji se nalaze na sličnim web stranicama za postavljanje trojanca za daljinski pristup pod nazivom RomCom RAT protiv raznih ukrajinskih i proukrajinskih ciljeva u istočnoj Evropi i Sjevernoj Americi.

Dok je RomCom prvo bio klokovan kao grupa vezana za kubanski ransomware, od tada je povezan s drugim vrstama ransomware-a kao što je Industrial Spy, kao i nova varijanta pod nazivom Underground od jula 2023. godine, koja pokazuje značajna preklapanja izvornog koda sa Industry Spy.

Microsoft je rekao da namjerava poduzeti “odgovarajuće mjere kako bi zaštitili klijente” u obliku vanpojasnih sigurnosnih ažuriranja ili putem mjesečnog procesa izdavanja. U nedostatku zakrpe za CVE-2023-36884, kompanija poziva korisnike da koriste pravilo, „blokiraj sve Office aplikacije da kreiraju podređene procese“, smanjenja površine napada (ASR).

Redmond je dalje rekao da je opozvao sertifikate za potpisivanje koda koji se koriste za potpisivanje i instaliranje malicioznih drajvera za način rada jezgra na kompromitovanim sistemima iskorištavanjem rupe u politici Windows-a kako bi promijenili datum potpisivanja drajvera prije 29. jula 2015. godine, koristeći alate otvorenog koda kao što su HookSignTool i FuckCertVerifyTimeValidity.

Nalazi sugerišu da korištenje lažnih drajvera za način rada jezgra postaje sve popularnije među hakerima jer oni rade na najvišem nivou privilegija na Windows-u, čime je moguće uspostaviti postojanost u dužim vremenskim periodima uz istovremeno ometanje funkcionisanja sigurnosnog softvera da se izbjegne otkrivanje.

Trenutno nije jasno kako se iskorištavaju druge mane i koliko su ti napadi široko rasprostranjeni. Ali u svjetlu aktivne zloupotrebe, preporučuje se korisnicima da brzo primjenjuju ažuriranja kako bi ublažili potencijalne prijetnje.

Softverske zakrpe drugih proizvođača

Pored Microsoft-a, drugi proizvođači su u proteklih nekoliko sedmica objavili sigurnosna ažuriranja kako bi se ispravilo nekoliko ranjivosti, uključujuć:

• Adobe
• AMD
• Android
• Apache Projects
• Apple (od tada je povučen)
• Aruba Networks
• Cisco
• Citrix
• CODESYS
• Dell
• Drupal
• F5
• Fortinet
• GitLab
• google chrome
• Hitachi Energy
• HP
• IBM
• Juniper Networks
• Lenovo
• Linux distribucije Debian, Oracle Linux, Red Hat, SUSE i Ubuntu
• MediaTek
• Mitsubishi Electric
• Mozilla Firefox, Firefox ESR i Thunderbird
• NETGEAR
• NVIDIA
• Napredak MOVEit Transfer
• Qualcomm
• Samsung
• SAP
• Schneider Electric
• Siemens
• Synology
• VMware
• Zumiranje i
• Zyxel

Izvor: The Hacker News