Akamai рассказала, какие системы могут быть скомпрометированы без вашего участия.
Бен Барнеа из компании Akamai раскрыл технические подробности о двух исправленных уязвимостях в Windows. Уязвимости могут быть использованы для удаленного выполнения кода (Remote Code Execution, RCE ) в почтовом сервисе Outlook без какого-либо взаимодействия с пользователем. Отчёт Akamai составлен в двух частях [ Для просмотра ссылки Войдиили Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся ].
CVE-2023-35384 связана с функцией MapUrlToZone , которая может быть использована для отправки электронного письма с вредоносным файлом или URL-адресом клиенту Outlook.
CVE-2023-35384 была описана как обход критической уязвимости повышения привилегий, которую Microsoft исправила в марте 2023 года - CVE-2023-23397 (оценка CVSS: 9.8) позволяет злоумышленнику похищать хэши Net-NTLMv2 и получать доступ к аккаунтам пользователей. Кроме того, CVE-2023-23397 Для просмотра ссылки Войдиили Зарегистрируйся группировкой APT28 для несанкционированного доступа к учетным записям на серверах Exchange.
Уязвимость CVE-2023-36710 затрагивает компонент Audio Compression Manager (ACM), устаревшую мультимедийную систему Windows. Она вызвана целочисленным переполнением ( Integer Overflow ) при воспроизведении WAV-файла. Akamai смогли вызвать уязвимость, используя кодек IMA ADP.
«Размер файла составляет примерно 1,8 ГБ. Выполнив математическую операцию ограничения при расчете, мы можем заключить, что наименьший возможный размер файла с кодеком IMA ADP составляет 1 ГБ», - отметил Барнеа.
Для снижения рисков рекомендуется использовать микросегментацию для блокирования исходящих SMB-соединений на удаленные общедоступные IP-адреса, а также отключить NTLM или добавить пользователей в группу защищенных пользователей, что предотвращает использование NTLM в качестве механизма аутентификации.
Бен Барнеа из компании Akamai раскрыл технические подробности о двух исправленных уязвимостях в Windows. Уязвимости могут быть использованы для удаленного выполнения кода (Remote Code Execution, RCE ) в почтовом сервисе Outlook без какого-либо взаимодействия с пользователем. Отчёт Akamai составлен в двух частях [ Для просмотра ссылки Войди
- Для просмотра ссылки Войди
или Зарегистрируйся (оценка CVSS: 6.5) – уязвимость обхода функции безопасности платформ Windows HTML Platforms. Для просмотра ссылки Войдиили Зарегистрируйся в августе; - Для просмотра ссылки Войди
или Зарегистрируйся (оценка CVSS: 7.8) – уязвимость Windows Media Foundation Core, связанная с удаленным выполнением кода. Для просмотра ссылки Войдиили Зарегистрируйся в октябре.
CVE-2023-35384 связана с функцией MapUrlToZone , которая может быть использована для отправки электронного письма с вредоносным файлом или URL-адресом клиенту Outlook.
CVE-2023-35384 была описана как обход критической уязвимости повышения привилегий, которую Microsoft исправила в марте 2023 года - CVE-2023-23397 (оценка CVSS: 9.8) позволяет злоумышленнику похищать хэши Net-NTLMv2 и получать доступ к аккаунтам пользователей. Кроме того, CVE-2023-23397 Для просмотра ссылки Войди
Уязвимость CVE-2023-36710 затрагивает компонент Audio Compression Manager (ACM), устаревшую мультимедийную систему Windows. Она вызвана целочисленным переполнением ( Integer Overflow ) при воспроизведении WAV-файла. Akamai смогли вызвать уязвимость, используя кодек IMA ADP.
«Размер файла составляет примерно 1,8 ГБ. Выполнив математическую операцию ограничения при расчете, мы можем заключить, что наименьший возможный размер файла с кодеком IMA ADP составляет 1 ГБ», - отметил Барнеа.
Для снижения рисков рекомендуется использовать микросегментацию для блокирования исходящих SMB-соединений на удаленные общедоступные IP-адреса, а также отключить NTLM или добавить пользователей в группу защищенных пользователей, что предотвращает использование NTLM в качестве механизма аутентификации.
- Источник новости
- www.securitylab.ru