Tehnologija

Najveći zakrpa u utorak u godinama vidi Microsoft Adresa 159 ranjivosti

anketa.plus
Izvor: anketa.plus
Najveći zakrpa u utorak u godinama vidi Microsoft Adresa 159 ranjivosti

Najveći zakrpa u utorak 2020-ih do sada donosi popravke za više od 150 Cves u rasponu u njihovom obimu i ozbiljnosti – uključujući osam nedostataka nulte

Od

  • Alex Scroxton,Sigurnosni urednik

Objavljeno: 15. januara 2025. 14:00

Microsoft je izbacio 2025 sa praskom u drugom utorak januara, ispuštajući masivni zakrpa u utorak ažuriranja koji sadrži ispravke za 159 ranjivosti – porast na 161 koji uključuje dvije dodatne ranjivosti kroz CC i Github.

Prema rečima inicijative za prašinu, ovo je možda najveći broj Cves obraćen za mjesec dana od 2017. godine – doista je više od visokih korisnika (49) koji je ovaj put izvršio u ovom trenutku – i slijedi još jedan neuobičajeno teško ažuriranje prosinca .

“[This] Mogao bi biti zloslutni znak za razinu zakrpa 2025. godine “, napisao je djeteta u svom redovnom okrugloj blogu. “Bit će zanimljivo vidjeti kako se ove godine oblikova.”

Tyler Reguly, Fortra saradnik Direktor sigurnosnog istraživanja i razvoja, dogovorio se: “Ovo je definitivno jedan od tih mjeseci u kojem administruje administruje da se vrate, duboko udahne i određuju svoj plan napada.

“Dok će veliki broj tih ranjivosti biti riješen u Windows kumulativno ažuriranje, postoji mnoštvo drugih softvera koji uključuje brojne uredske proizvode – reč, Excel, Access, Outlook, Visio i SharePoint – kao i drugi Microsoft Proizvodi poput .NET, .NET Framework i Visual Studio.

“Mjeseci poput ovih su sjajni [reminder] To administratori treba vjerovati svojim dobavljačima i njihovom alatu “, rekao je Reguly. “Učvršćivanje 161 ranjivosti ne može biti potpuno ručni proces, pogotovo jer znamo da danas više od samo Microsoftovih zakrpa pada. Adobe, kao primjer, kako je pao ažuriranja za Photoshop, supstanca3D spase, ilustrator za iPad, animirani i adobe supstance3D dizajner.

“Ranjivosti zakrpanja ne bi trebale biti solo nastojanje u preduzeću i ako jeste, možda je vrijeme za razgovor sa vašim vodstvom o promjenama osoblja i alata.”

Nula-dani

Među grabičkim ugrizom ranjivosti nije manji od osam nula-dana, tri koji su poznati da su eksploatirani u divljini i 11 kritičnih nedostataka.

Ovog mjeseca nula-dani su sljedeći:

  • CVE-2025-21333, nadmorska visina privilegija (EOP) VULN u sustavu Windows Hyper-V Nt Kernel VSP;
  • CVE-2025-21334, druga ranjivost EOP-a u istoj usluzi;
  • CVE-2025-21335, treća ranjivost EOP-a u istoj usluzi.

Ove mane u Windows Hyper-V NT Kernel VSP su poznate da su eksploatirane u divljini, ali ti eksploatirani još nisu objavljeni, dok je za preostale pet, suprotno. Ovo su:

  • CVE-2025-21186, mana daljinskog izvršenja kod (RCE) u Microsoftovom pristupu;
  • CVE-2025-21275, EOP FAW u instalaciji Windows App Paketa;
  • CVE-2025-21308, mana spoofing u sustavu Windows Teme;
  • CVE-2025-21366, druga RCE mana u Microsoftovom pristupu;
  • CVE-2025-21395, treći RCE manjak u Microsoftovom pristupu.

Saaed Abbasi, rukovodilac ranjivosti u kvality-u Istraživačkoj jedinici za prijetnju, rekao je da je blagovremeno krpanje hiper-V pitanja bila kritična jer su u aktivnom napadu.

“Oni omogućuju autentificiranom korisniku da uzdigne privilegije u sustav i pusti ih da preduzmu potpunu kontrolu nad pogođenim okruženjem”, rekao je Abbasi.

“Obično se prelazak iz gostiju do domaćina / hipervizora ukazuje na životopis [Common Vulnerability Scoring System] Promjena opsega, ali Microsoftovo trenutno otkrivanje nije izričito potvrđeno, što sugeriše daljnje detalje su potrebne; To bi moglo ugroziti cijelu infrastrukturu domaćina, a ne samo pojedinog VM-a [virtual machine]. “

Aktar za prijetnju koji može postići privilegije nivoa sistema je ozbiljna briga za branitelje, jer otvara vrata drugim akcijama – poput onesposobljavanja sigurnosnog alata ili verodostojnog odlaganja u ciljano okruženje. Takve tehnike često koriste i financijski motivirane Cyber ​​kriminalne bande i operatori za špijunski zastoj nacije-stanja.

Da li radite ili ne primate pristup?

U međuvremenu, Adam Barnett, vodeći softverski inženjer na Rapid7, pokrenuo je pravilo nad tri slična pitanja RCE-a u Microsoftovom pristupu.

Barnett je detaljno opisao koliko bi uspješno iskorištavanje – trebalo da se dogodi – zahtijeva da se korisnik zavara u preuzimanje i otvaranje zlonamjernog datoteke, što dovodi do pogubljenja koda preko preljeva pufera zasnovane na kodu.

“Zanimljivo, u svakom dijelu savjetodavnog FAQ-a opisuje zaštitu ažuriranja kao” blokiranje potencijalno zlonamjerne ekstenzije iz poslane e-pošte “, ali ostatak savjetovanja ne pojačava kako bi to spriječilo zlonamjerne aktivnosti”, rekao bi Barnett.

“Tipično, zakrpe pružaju zaštitu blokiranjem zlonamjernih datoteka po primitku zlonamjernog priključka za e-poštu, a ne sprečavajući da se zlonamjerni prilog šalje u prvom redu, jer je napadač slobodan da bi mogli poslati sve što im se može poslati iz bilo kojeg sistema koji kontroliraju.

“U svakom slučaju, FAQ spominje da će korisnici koji inače komuniciraju sa zlonamjernim prilogom, umjesto toga dobit će obavijest da je postojao prilog, ali” ne može se pristupiti “, što je možda najbolja igra na riječima koje smo vidjeli od MSRC-a u neko vrijeme “, rekao je.

Na preklopu u Windows temama, Barnett je rekao da mnogi administratori i korisnici ne smiju razmišljati o ovoj funkciji – što korisnicima omogućava personaliziraju svoje radne površine sa pozadinskim slikama, čuvarama i tako često, ali bilo je ipak bitno platiti Zaštita pažnja na sve aspekte Windows Estate.

“Uspješno iskorištavanje dovodi do nepravilnog otkrivanja NTLM hash-a, što omogućava napadaču da se oriču korisnika od koga je stečen”, rekao je.

“Savjetodavna FAQ pleše oko metodologije eksploatacije bez objašnjenja; Ono što naučimo je da je nekada napadač nekako donio zlonamjernu datoteku ciljanom sustavu, korisnik bi trebao manipulirati zlonamjernom datotekom, ali ne nužno i otvoriti ili otvoriti.

“Bez daljnjih detalja možemo samo nagađati, ali je vjerodostojan koji je jednostavno otvaranje mape koja sadrži datoteku u programu Windows Explorer – uključujući preuzmi mapu – ili umetnuvši USB pogon, bilo bi dovoljno za pokretanje ranjivosti i vidjeti vaš NTLM hash curenje tiho za kolekciju od strane aktera prijetnje. “

Pročitajte više o sigurnosnim i kodiranjem aplikacija

  • Januar Patch utorak rješava 3 Hyper-V nula-dane

    Napisao: Tom Walat

  • Opasni CLF-ovi i LDAP nedostaci ističu se na patch-u utorak

    Napisao: Alex Scroxton

  • Microsoft zaustavlja 2 nula-dane u studenom utorkom

    Napisao: Tom Walat

  • Microsoft: Nula-dnevna ranjivost valjala su prethodne zakrpe

    Napisao: Arielle Waldman