Η Microsoft 기록을 수정하기 위해 2024년 XNUMX월 보안 업데이트를 발표했습니다. 결함 149개 , 그 중 두 개는 야생에서 적극적으로 악용되었습니다.
149개 결함 중 142개는 심각, XNUMX개는 중요, XNUMX개는 보통, XNUMX개는 심각도 낮음으로 평가되었습니다. 업데이트는 불가능합니다 취약점 21개 출시 후 Chromium 기반 Edge 브라우저에서 회사가 직면한 문제 2024년 XNUMX월 화요일 패치 수정 사항 .
적극적으로 악용된 두 가지 결함은 다음과 같습니다.
- CVE-2024-26234 (CVSS 점수: 6,7) – 프록시 드라이버 스푸핑 취약점
- CVE-2024-29988 (CVSS 점수: 8,8) - SmartScreen 프롬프트 보안 기능으로 취약점 우회
Microsoft의 권고는 다음에 대한 정보를 제공하지 않지만 CVE-2024-26234, 사이버회사보안Sophos는 2023년 XNUMX월에 다음과 같은 악성 실행 파일(“Catalog.exe” 또는 “Catalog Authentication Client Service”)을 발견했다고 밝혔습니다. 서명됨 유효한 Microsoft Windows 하드웨어 호환성 게시자( WHCP ) 자격증.
인증코드 분석 바이너리의 원래 요청 게시자가 Hainan YouHu Technology Co.에 공개되었습니다. Ltd는 LaiXi Android Screen Mirroring이라는 또 다른 도구의 게시자이기도 합니다.
후자는 "수백 대의 휴대폰을 연결하여 일괄적으로 제어하고 그룹 팔로우, 좋아요, 댓글 달기와 같은 작업을 자동화할 수 있는 마케팅 소프트웨어"로 설명됩니다.
가정된 인증 서비스에는 다음과 같은 구성 요소가 있습니다. 3프록시 감염된 시스템의 네트워크 트래픽을 모니터링하고 가로채서 효과적으로 백도어 역할을 하도록 설계되었습니다.
"LaiXi 개발자가 의도적으로 악성 파일을 자사 제품에 통합했거나 위협 행위자가 LaiXi 애플리케이션 빌드/빌드 프로세스에 악성 파일을 주입하기 위해 공급망 공격을 수행했다는 증거가 없습니다." 그는 말했다 소포스(Sophos) 연구원 안드레아스 클롭쉬(Andreas Klopsch). .
사이버 보안 회사는 또한 5년 2023월 XNUMX일까지 야생에서 여러 가지 다른 백도어 변종을 발견했다고 밝혔는데, 이는 적어도 그 이후로 캠페인이 실행되고 있음을 나타냅니다. 이후 Microsoft는 관련 파일을 리콜 목록에 추가했습니다.
마이크로소프트는 “이 보안 기능 우회 취약점을 악용하려면 공격자는 사용자 인터페이스가 표시되지 않도록 요청하는 런처를 사용해 악성 파일을 실행하도록 사용자를 설득해야 한다”고 말했다.
"이메일 또는 인스턴트 메시지 공격 시나리오에서 공격자는 원격 코드 실행 취약점을 악용하도록 설계하여 특수 제작된 파일을 대상 사용자에게 보낼 수 있습니다."
제로데이 이니셔티브 노출 된 Microsoft는 이 결함을 "가장 가능성 있는 악용" 등급으로 표시했지만 실제로는 이 결함을 악용했다는 증거가 있습니다.
또 다른 중요한 문제는 취약성입니다. CVE-2024-29990 (CVSS 점수: 9.0), 인증되지 않은 공격자가 자격 증명을 훔치기 위해 악용할 수 있는 Microsoft Azure Kubernetes Service Container Confidential에 영향을 미치는 권한 상승 결함입니다.
"공격자는 신뢰할 수 없는 AKS Kubernetes 노드와 AKS 기밀 컨테이너에 액세스하여 바인딩될 수 있는 네트워크 스택 너머의 기밀 게스트와 컨테이너를 탈취할 수 있습니다."라고 Redmond는 말했습니다.
전반적으로 이번 릴리스는 최대 68개의 원격 코드 실행, 31개의 권한 상승, 26개의 보안 기능 우회 및 24개의 서비스 거부(DoS) 버그를 해결한 것으로 유명합니다. 흥미롭게도 보안 우회 오류 26개 중 XNUMX개는 보안 부팅과 관련이 있습니다.
“이러한 취약점 중 어느 것도 안전 부팅 이번 달에 언급된 문제는 실제로 악용되지 않았으며 Secure Boot의 결함이 여전히 존재하며 앞으로 더 많은 Secure Boot 관련 악성 활동을 볼 수 있다는 점을 상기시키는 역할을 합니다.”라고 Tenable의 선임 연구 엔지니어인 Satnam Narang은 말했습니다. 성명.
계시는 Microsoft가 비판에 직면하다 보안 관행에 대한 검토위원회의 최근 보고서 사이버 보안(CSRB)는 Storm으로 추적되는 중국 위협 행위자가 조직한 사이버 스파이 활동을 예방하기 위해 충분한 조치를 취하지 않은 회사를 비난했습니다. 작년 -0558.
또한 회사의 결정에 따릅니다. 근본 원인 데이터 게시 CWE(Common Weakness Enumeration) 산업 표준을 사용하여 보안 결함을 찾아냅니다. 그러나 변경 사항은 2024년 XNUMX월부터 게시된 권고부터만 적용된다는 점은 주목할 가치가 있습니다.
Rapid7의 수석 소프트웨어 엔지니어인 Adam Barnett는 The Hacker News와 공유한 성명에서 "Microsoft의 보안 권고에 CWE 평가를 추가하면 취약성의 전반적인 근본 원인을 식별하는 데 도움이 됩니다."라고 말했습니다.
“CWE 프로그램은 최근에 대한 지침을 업데이트했습니다. CVE를 CWE 근본 원인에 매핑 . CWE 동향을 분석하면 개발자가 향상된 SDLC(소프트웨어 개발 수명 주기) 워크플로 및 테스트를 통해 향후 발생을 줄이는 데 도움이 될 뿐만 아니라 방어자가 더 나은 투자 수익을 위해 심층 방어 노력과 강화 개발을 지시할 위치를 이해하는 데 도움이 될 수 있습니다."
관련 개발 과정에서 사이버 보안 회사인 Varonis는 공격자가 SharePoint에서 파일을 내보낼 때 감사 로그를 우회하고 다운로드 이벤트 트리거를 피하기 위해 채택할 수 있는 두 가지 방법을 공개했습니다.
첫 번째 접근 방식은 SharePoint의 "앱에서 열기" 기능을 활용하여 파일에 액세스하고 다운로드하는 반면, 두 번째 접근 방식은 Microsoft SkyDriveSync용 사용자 에이전트를 사용하여 파일 또는 전체 사이트를 다운로드하므로 이러한 이벤트를 다운로드가 아닌 파일 동기화로 잘못 분류합니다.
"이러한 기술은 다운로드를 덜 의심스러운 액세스 및 동기화 이벤트로 위장하여 클라우드 액세스 보안 브로커, 데이터 손실 방지 및 SIEM과 같은 기존 도구의 탐지 및 시행 정책을 우회할 수 있습니다." 그는 말했다 에릭 사라가.
타사 소프트웨어 수정
Microsoft 외에도 최근 몇 주 동안 다른 공급업체에서도 다음을 포함한 여러 가지 취약점을 해결하기 위한 보안 업데이트를 출시했습니다.
- 어도비 벽돌
- AMD
- Android
- C++용 Apache XML 보안
- 아루바 네트웍스
- 아토스
- 보쉬
- 시스코
- D - 링크
- 작은 골짜기
- 드루팔
- F5
- 포티넷
- 포트라
- GitLab
- Google Chrome
- Google 클라우드
- 구글 픽셀
- 히크 비전
- 히타치에너지
- HP
- HP 엔터프라이즈
- HTTP / 2
- IBM
- 이반 티
- 젠킨스
- 레노버
- LG 웹OS
- Linux 배포판 데비안, 오라클 리눅스, 레드햇, SUSE및 Ubuntu
- 미디어 텍
- 모질라 파이어폭스, 파이어폭스 ESR, 썬더버드
- NETGEAR
- NVIDIA
- 퀄컴
- 로크웰 오토메이션
- 녹
- 삼성
- SAP
- 슈나이더 일렉트릭
- 지멘스
- 스플 렁크
- 는 Synology
- VM웨어
- 워드프레스(WordPress)
- 줌
