Nov 13, 2024Ravie LakshmananVulnerability / Patch Tuesday Microsoft mnamo Jumanne ilifichua kuwa dosari mbili za kiusalama zinazoathiri Kidhibiti cha Windows NT LAN (NTLM) na Kiratibu Task zimekuwa zikitumiwa sana porini. Athari za kiusalama ni miongoni mwa hitilafu 90 za kiusalama ambazo kampuni kubwa ya teknolojia ilishughulikia kama sehemu ya sasisho lake la Patch Tuesday la Novemba 2024. Kati ya dosari 90, nne zimekadiriwa kuwa Muhimu, 85 zimekadiriwa kuwa Muhimu, na moja imekadiriwa kuwa Wastani kwa ukali. Hamsini na mbili ya udhaifu uliotiwa viraka ni dosari za utekelezaji wa msimbo wa mbali. Marekebisho hayo ni pamoja na udhaifu 31 wa Microsoft uliotatuliwa katika kivinjari chake cha Edge chenye msingi wa Chromium tangu kutolewa kwa sasisho la Jumanne la Kiraka cha Oktoba 2024. Athari mbili ambazo zimeorodheshwa kuwa zimetumiwa kikamilifu ziko hapa chini – CVE-2024-43451 (alama ya CVSS: 6.5) – Uhatarishi wa Ufichuaji wa Ufichuzi wa Windows NTLM Hash CVE-2024-49039 (alama ya CVSS: 8.8) – Windows NTLM Hash Disclosure Spoofing Vulnerability CVE-2024-49039 (alama ya CVSS: 8.8) – Windows “Udhaifu huu unafichua heshi ya NTLMv2 ya mtumiaji kwa mshambuliaji ambaye anaweza kutumia hii kuthibitisha kama mtumiaji,” Microsoft ilisema katika ushauri wa CVE-2024-43451, ikimsifu mtafiti wa ClearSky Israel Yeshurun ​​kwa kugundua na kuripoti dosari hiyo. Inafaa kukumbuka kuwa CVE-2024-43451 ni dosari ya tatu baada ya CVE-2024-21410 (iliyotiwa viraka mnamo Februari) na CVE-2024-38021 (iliyowekwa viraka mnamo Julai) ambayo inaweza kutumika kufichua heshi ya NTLMv2 ya mtumiaji na imetumiwa katika pori mwaka huu pekee. “Wavamizi wanaendelea kusisitiza juu ya kugundua na kutumia udhaifu wa siku sifuri ambao unaweza kufichua heshi za NTLMv2, kwani zinaweza kutumika kudhibitisha mifumo na uwezekano wa kusonga mbele ndani ya mtandao ili kufikia mifumo mingine,” Satnam Narang, mhandisi mkuu wa utafiti wa wafanyikazi huko. Tenable, alisema katika taarifa. CVE-2024-49039, kwa upande mwingine, inaweza kumruhusu mshambulizi kutekeleza utendakazi wa RPC ambao vinginevyo unazuiliwa kwa akaunti maalum. Hata hivyo, Microsoft inabainisha kuwa unyonyaji uliofanikiwa unahitaji mvamizi aliyeidhinishwa kutekeleza programu iliyoundwa mahususi kwenye mfumo lengwa ili kwanza kuinua mapendeleo yao hadi Kiwango cha Uadilifu wa Kati. Vlad Stolyarov na Bahare Sabouri wa Kikundi cha Uchanganuzi wa Tishio kutoka Google (TAG) na mtafiti ambaye jina lake halikutajwa wamekubaliwa kwa kuripoti athari hiyo. Hii inaleta uwezekano kwamba utumiaji mbaya wa dosari hiyo kwa siku sifuri unahusishwa na baadhi ya kundi lililoegemea taifa au mwigizaji tishio la hali ya juu (APT). Kwa sasa hakuna maarifa kuhusu jinsi kasoro hizo zinavyotumiwa porini au jinsi mashambulizi haya yameenea, lakini maendeleo yamesukuma Wakala wa Usalama wa Mtandao na Miundombinu wa Marekani (CISA) kuziongeza kwenye katalogi ya Athari Zinazojulikana (KEV). Mojawapo ya makosa yaliyofichuliwa hadharani, lakini ambayo bado hayajatumiwa, dosari za siku sifuri ni CVE-2024-49019 (alama ya CVSS: 7.8), hatari ya kuongezeka kwa fursa katika Huduma za Cheti cha Active Directory ambayo inaweza kupatikana ili kupata haki za msimamizi wa kikoa. Maelezo ya kuathirika, iliyopewa jina la EKUwu, yalirekodiwa na TrustedSec mwezi uliopita. Athari nyingine ya kumbuka ni CVE-2024-43498 (alama ya CVSS: 9.8), hitilafu muhimu ya kutekeleza msimbo wa mbali katika .NET na Visual Studio ambayo mvamizi wa mbali ambaye hajaidhinishwa anaweza kutumia kwa kutuma maombi yaliyoundwa mahususi kwa programu ya wavuti ya .NET au kwa kupakia faili iliyoundwa mahsusi kwenye programu ya eneo-kazi iliyo hatarini. Sasisho pia hurekebisha dosari muhimu ya itifaki ya kriptografia inayoathiri Windows Kerberos (CVE-2024-43639, alama ya CVSS: 9.8) ambayo inaweza kutumiwa vibaya na mvamizi ambaye hajaidhinishwa kutekeleza utekelezaji wa msimbo wa mbali. Athari iliyokadiriwa zaidi katika toleo la mwezi huu ni hitilafu ya utekelezaji wa msimbo wa mbali katika Azure CycleCloud (CVE-2024-43602, alama ya CVSS: 9.9), ambayo huruhusu mvamizi aliye na ruhusa za msingi za mtumiaji kupata haki za kiwango cha mizizi. “Urahisi wa unyonyaji ulikuwa rahisi kama kutuma ombi kwa nguzo ya AzureCloud CycleCloud ambayo ingerekebisha usanidi wake,” Narang alisema. “Mashirika yanapoendelea kuhama katika kutumia rasilimali za wingu, eneo la mashambulizi huongezeka kama matokeo.” Hatimaye, CVE isiyotolewa na Microsoft iliyoshughulikiwa na Redmond ni hitilafu ya utekelezaji wa msimbo wa mbali katika OpenSSL (CVE-2024-5535, alama ya CVSS: 9.1). Ilibanwa na wasimamizi wa OpenSSL mnamo Juni 2024. “Utumiaji wa athari hii inahitaji mshambulizi kutuma kiungo kiovu kwa mwathiriwa kupitia barua pepe, au amshawishi mtumiaji kubofya kiungo, kwa kawaida kwa njia ya kushawishi. barua pepe au ujumbe wa Mjumbe wa Papo hapo,” Microsoft ilisema. “Katika hali mbaya zaidi ya shambulio la barua pepe, mshambuliaji anaweza kutuma barua pepe iliyoundwa mahsusi kwa mtumiaji bila sharti kwamba mwathirika afungue, asome au abofye kiungo. Hii inaweza kusababisha mshambuliaji kutekeleza msimbo wa mbali kwenye mashine ya mwathiriwa. .” Sambamba na sasisho la usalama la Novemba, Microsoft pia ilitangaza kupitishwa kwake kwa Mfumo wa Ushauri wa Pamoja wa Usalama (CSAF), kiwango cha OASIS cha kufichua udhaifu katika mfumo unaoweza kusomeka na mashine, kwa CVE zote ili kuharakisha jitihada za kukabiliana na kurekebisha. “Faili za CSAF zinakusudiwa kutumiwa na kompyuta zaidi kuliko wanadamu, kwa hivyo tunaongeza faili za CSAF kama nyongeza ya chaneli zetu za data za CVE badala ya uingizwaji,” kampuni hiyo ilisema. “Huu ni mwanzo wa safari ya kuendelea kuongeza uwazi katika msururu wetu wa ugavi na udhaifu ambao tunashughulikia na kutatua katika msururu wetu wote wa usambazaji, ikiwa ni pamoja na Programu ya Open Source iliyopachikwa katika bidhaa zetu.” Viraka vya Programu kutoka kwa Wachuuzi Wengine Kando na Microsoft, masasisho ya usalama pia yametolewa na wachuuzi wengine katika wiki chache zilizopita ili kurekebisha udhaifu kadhaa, ikiwa ni pamoja na – Je, umepata makala haya ya kuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.