Microsoft Patch Tuesday: 83 heikkoutta, 10 kriittistä, 1 aktiivisesti hyödynnettyä

Microsoft julkaisi tiistaina ensimmäisen erän vuoden 2021 tietoturvakorjauksia, joissa oli korjauksia 83 dokumentoituun tietoturva-aukkoon, mukaan lukien "kriittinen" vika Defender-tietoturvatuotteessa, jota aktiivisesti hyödynnetään.

Turvallisuusasiantuntijat kehottavat tietoturvavastaavia kiinnittämään erityistä huomiota CVE-2021-1647: een , joka kuvaa koodin etäsuorittamisvirheen Microsoft Defenderissä, joka on yhtiön lippulaivojen anti-haittaohjelmien tuote.

Microsoft Defender -päivityksen mukana tulee "havaittu hyväksikäyttö" -varoitus, ja se toimitettiin Microsoft Malware Protection Engine -apuohjelman kautta, jonka avulla puhdistetaan tunnettujen haittaohjelmien hyökkäykset.

"Parhaat käytännöt suosittelevat, että asiakkaat tarkistavat säännöllisesti, toimiiko ohjelmistojen jakelu, kuten Microsoft Malware Protection Engine -päivitysten automaattinen käyttöönotto ja haittaohjelmamääritelmät, heidän ympäristössään odotetulla tavalla", yritys kehotti.

Microsoft ei toimittanut tietoja aktiivisista hyökkäyksistä.

Tammikuussa dokumentoiduista 83 haavoittuvuudesta 10 on luokiteltu kriittisiksi, Microsoftin korkeimmaksi luokitukseksi. Loput luokitellaan "tärkeiksi" koodin suorittamisen, tietojen paljastamisen tai palvelunestohyökkäysten riskin takia.

Tammikuun korjauserät kattavat vakavat tietoturva-aukot Microsoft Officessa, Microsoft Office -palveluissa ja Web-sovelluksissa, Microsoft WIndowsissa, Visual Studiossa, .Net Core: ssä ja Azuressa.

ZDI: n tietoturvapäivityksiä seuranneen tutkimuksen Dustin Childsin mukaan Microsoftin haittaohjelmien torjuntaohjelman merkittävä vika voidaan jo korjata moottorin automaattisina päivityksinä tarpeen mukaan. "Jos järjestelmiäsi ei kuitenkaan ole yhdistetty Internetiin, joudut asentamaan korjaustiedoston manuaalisesti", Childs sanoi blogikirjoituksessaan .

Hän kiinnitti huomiota myös seuraaviin tiedotteisiin:

CVE-2021-1648 - Microsoft splwow64 Käyttöoikeuksien haavoittuvuuden nousu: ZDI julkisti tämän virheen, kun se ylitti julkistamisaikataulumme. Google löysi sen myös todennäköisesti siksi, että tämä korjaustiedosto korjaa edellisen korjaustiedoston esittämän virheen. Edellisessä korjaustiedostossa otettiin käyttöön toiminto syötemerkkijonon osoittimen tarkistamiseksi, mutta tällöin se otti käyttöön OOB-lukemisen ehdon. Tämä korjaustiedosto kattaa myös muita vikoja, mukaan lukien epäluotettava osoitin. Aikaisempaa CVE: tä hyödynnettiin luonnossa, joten on syytä ajatella, että myös tätä CVE: tä hyödynnetään aktiivisesti.

CVE-2021-1677 - Azure Active Directory -pod-identiteetin väärennösten heikkous: Tämä heikkous esiintyy tavalla, jolla Azure Active Directory (AAD) -pod-identiteetti antaa käyttäjille mahdollisuuden määrittää identiteettejä Kubernetes-klustereiden palkkeille. Kun identiteetti on määritetty podille, pod voi käyttää Azure-ilmentymän metatietopalvelun (IMDS) päätepistettä ja saada tunnuksen kyseisestä henkilöllisyydestä. Tämä voi antaa hyökkääjälle mahdollisuuden varastaa sivusuunnassa identiteetit, jotka liittyvät eri palkkoihin. Tämä edellyttää myös muutakin kuin korjaustiedoston korjaamista. Kaikkien, joilla on jo asennusta, on asennettava klusteri uudelleen ja käytettävä Azure CNI: tä oletus Kubernetesin sijaan.

CVE-2021-1674 - Windows-etätyöpöytäprotokollan ydinturvallisuusominaisuuden ohitushaavoittuvuus: Tämä korjaustiedosto on hieman mysteeri. Sillä on suhteellisen korkea CVSS-pisteet (8,8), mutta ilman tiivistelmää voimme vain arvata, mitä RDP Core -turvallisuusominaisuutta ohitetaan. Huolimatta korjausten korjaamisesta, emme edes tiedä, miten tämä eroaa CVE-2021-1669 - Windowsin etätyöpöydän tietoturvaominaisuuden ohituksen heikkous. Tiedämme, että RDP on ollut suosittu kohde viimeaikaisessa muistissa, ja nämä virheet on otettava vakavasti. Ilman vankkoja tietoja toimimiseksi puolustajien tulisi olettaa pahimman tilanteen ja rajoittaa pääsyä maaseudun kehittämisohjelmaan aina kun mahdollista.