Microsoft har udgivet en nødsituation out-of-band sikkerhedsopdatering i dag til at lave to kritiske sikkerhedsproblemer — en zero-day-sårbarhed i Internet Explorer script-motor, der har været udnyttet i naturen, og en Microsoft Defender fejl.
De opdateringer, skiller sig ud, fordi Microsoft normalt kan lide at holde kursen, og kun udgiver sikkerhedsopdateringer den anden tirsdag i hver måned. Virksomheden sjældent bryder dette mønster, og det er som regel kun til meget vigtige sikkerhedsspørgsmål.
Dette er en af de sjældne lejligheder, og Windows-brugere rådes til at installere dagens opdateringer så hurtigt som muligt. Patch til IE zero-day er en manuel opdatering, mens Defender fejlen vil blive rettet via en stille opdatering.
IE nul-dag
Af de to bugs, Internet Explorer nul-dag er den vigtigste, primært fordi det allerede er blevet udnyttet i aktive angreb i naturen.
Oplysninger om de angreb, der er stadig indhyllet i mystik, og Microsoft sjældent udgivelser sådanne detaljer. Hvad vi ved er, at de angreb og nul-dag, er blevet rapporteret til Microsoft som Clément Lecigne, medlem af Googles Trussel Analyse Gruppen.
Dette er den samme Google-trussel intel team, der har registreret angreb med iOS nul-dage mod medlemmer af den Kinesiske Uyghur fællesskab tidligere på året. De målrettede angreb også Android og Windows brugere, men det er uklart, om IE nul-dag lappet i dag er en del af disse angreb.
Men hvad vi ved nu er, at IE zero-day er en meget alvorlig sårbarhed. Det er, hvad forskerne kalder et fjernkørsel af programkode (RCE) spørgsmål.
Ifølge Microsoft, “den sårbarhed, som kan ødelægge hukommelse på en sådan måde, at en angriber kunne udføre vilkårlig kode i forbindelse med den aktuelle bruger.”
“En hacker, som med held udnytter sårbarheden kunne få de samme brugerrettigheder som den aktuelle bruger,” siger Microsoft. “Hvis den aktuelle bruger, der er logget på med administrative brugerrettigheder, kan en hacker, som med held udnytter sårbarheden kunne tage kontrol over et berørt system. En angriber kan derefter installere programmer, få vist, ændre eller slette data eller oprette nye konti med fulde brugerrettigheder.”
Angrebet kræver at lokke et Internet Explorer-brugere på en ondsindet hjemmeside, som er en temmelig triviel opgave, som det kan opnås ved forskellige metoder, såsom spam e-mail, IM spam, søgemaskine annoncer, malvertising kampagner, og andre.
Den gode nyhed er, at Internet Explorer skik, der er gået ned til 1.97% af markedet ifølge StatCounter, hvilket betyder at antallet af brugere sårbare over for angreb er temmelig lille, og angreb skal være temmelig begrænset i omfang.
IE nul-dag spores med den CVE-2019-1367-id. I en sikkerhedsmeddelelse, Microsoft lister forskellige løsninger for at beskytte systemer, hvis dagens opdatering kan ikke anvendes med det samme. Security advisory indeholder også links til manuel opdatering af pakker, som Windows-brugere bliver nødt til at downloade fra Microsoft Update-Kataloget og køre på deres systemer ved hånden. Patch til IE nul-dag, vil ikke være tilgængelig via Windows Update.
Microsoft Defender DoS fejl
Det andet problem rettet i dag er et lammelsesangreb (denial of service (DoS) – sårbarhed i Microsoft Defender, tidligere kendt som Windows Defender, standard-antivirus, der leveres med Windows 8 og nyere versioner, herunder den udbredte Windows-10-udgivelse.
Ifølge Microsoft, “en hacker kan udnytte denne svaghed til at forhindre, at legitime konti fra fuldbyrdelsesstaten legitime system binære filer.”
Den gode nyhed er, at denne fejl ikke er så stort et problem. For at udnytte denne fejl, kan en hacker først har adgang til et offers system og evnen til at eksekvere kode.
Fejlen gør det muligt for en trussel skuespiller til at deaktivere Microsoft Defender komponenter fra fuldbyrdelsesstaten, men hvis angriberen allerede har “udførelse rettigheder” på offerets computer, så er der mange andre måder, til at køre skadelig kode uopdaget — som fileless angreb.
Ikke desto mindre, Microsoft har udgivet en opdatering v1.1.16400.2 til Microsoft Malware Protection Engine, der er en del af Microsoft Defender antivirus, for at løse problemet.
Denne fejl er registreret som CVE-2019-1255. Microsoft krediteret Charalampos Billinis af F-Secure Countercept og Wenxu Wu Tencent Sikkerhed Xuanwu Lab med at udforske dette spørgsmål.
Sikkerhed
Kære netværk operatører, kan du bruge de eksisterende værktøjer til at lave sikkerhed
Massiv bølge af hensyn kaprer hits på YouTube skabere
Apple kastreret ad-blokering i Safari, men i modsætning til Chrome, brugere ikke kan sige en ting
GDPR et år senere: De udfordringer, organisationer står stadig over for (ZDNet YouTube)
Den bedste DIY sikkerhed i hjemmet systemer i 2019 (CNET)
Regeringer, der stadig kæmper for at slås med weaponized sociale medier platforme (TechRepublic)
Relaterede Emner:
Microsoft
Sikkerhed-TV
Data Management
CXO
Datacentre