Февраль был плохим месяцем с точки зрения уязвимостей безопасности для пользователей Windows и Windows Server, а также для iOS. В частности, уязвимости нулевого дня, которые уже использовались до того, как были выпущены обновления безопасности для их исправления. Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) вмешалось, добавив три проблемы безопасности нулевого дня Microsoft и одну проблему Apple с нулевым днем. Каталог известных эксплуатируемых уязвимостей (КЭВК).
Почему объявление CISA важно?
Это важно, поскольку в соответствии с обязательной оперативной директивой правительства США 22-01 у федеральных гражданских органов исполнительной власти есть всего три недели с момента добавления уязвимости до обеспечения исправления своих систем. Это не позволяет всем остальным сорваться с крючка, так как CISA предупреждает пользователей что он настоятельно призывает «все организации снизить свою подверженность кибератакам, отдавая приоритет своевременному устранению уязвимостей Каталога в рамках своей практики управления уязвимостями». Вы уже должны знать, что команда Straight Talking Cyber в Forbes советует применять обновления безопасности, но если вы этого не сделаете: обновите сейчас.
Нулевые дни Microsoft в феврале 2023 г.
В общей сложности в KEVC CISA были добавлены три уязвимости нулевого дня, две из которых напрямую затрагивают большинство пользователей Windows и Windows Server, а третья касается пользователей Microsoft Office. Они были подробно описаны, хотя и очень скудно с точки зрения технических деталей, как часть объявления о февральских исправлениях во вторник, которое охватило всего 76 уязвимостей безопасности.
CVE-2023-21823 — это уязвимость удаленного выполнения кода (RCE) и повышения привилегий (EOP); один эксперт по безопасности описывает это как относительно простую уязвимость. Тем не менее Microsoft подтвердила, что в случае успеха злоумышленник может получить системные привилегии. Кроме того, чтобы еще больше запутать проблему, Microsoft заявляет, что обновление распространяется через Microsoft Store, а не через Центр обновления Windows. Это может означать, что пользователям, у которых такие обновления отключены, потребуется установить их вручную.
CVE-2023-23376 также затрагивает пользователей Windows 10 и 11, а также большинства версий Windows Server, начиная с 2008 года, но это уязвимость EOP. Третья угроза нулевого дня Microsoft, добавленная в каталог CISA, — CVE-2023-21715. Это затрагивает пользователей Microsoft Office — уязвимость в Microsoft Publisher, позволяющая обойти блокировку вредоносных макросов.
Февральский нулевой день iOS
Что касается уязвимости нулевого дня iOS, как пишет моя коллега из Forbes Straight Talking Cyber Кейт О’Флаэрти, CVE-2023-23529 «уже используется в реальных атаках». Эта уязвимость WebKit, связанная с «путанием типов», позволяет потенциальному субъекту угрозы использовать вредоносный веб-контент, который может привести к выполнению произвольного кода на уязвимых устройствах. Это iPhone от iPhone 8 и новее, все модели iPad Pro, iPad Air третьего поколения и новее, iPad пятого поколения и новее, а также устройства iPad Mini пятого поколения.
Исправление этих нулевых дней должно быть главным приоритетом
«Когда CISA добавляет уязвимость в список известных эксплуатируемых уязвимостей, это важный сигнал о том, что исправление этих конкретных CVE должно быть главным приоритетом», — сказал Тим Макки, руководитель отдела стратегии управления рисками цепочки поставок программного обеспечения в Synopsys Software Integrity Group. Макки добавил, что это «следует рассматривать как призыв к действию для всех ИТ-команд, чтобы гарантировать, что ни одна система не будет допущена к сети, обрабатывающей конфиденциальную информацию, без проверки того, что уязвимости в KEVC остаются неисправленными».
Ян Торнтон-Трамп, директор по информационной безопасности (CISO) поставщика информации об угрозах Cyjax, согласился, когда я разговаривал с ним сегодня утром. «Когда CISA выпускает обновление для KEVC, или, как мне нравится его называть, «Кев», всем следует обратить внимание, — говорит Торнтон-Трампс, — это означает, что злоумышленники используют эту уязвимость, чтобы проникнуть внутрь целевых организаций. «Кев» — лучший инструмент, доставшийся в наследство защищающемуся сообществу безопасности, и за ним следует следить и действовать немедленно — это лучший в реальном мире, тщательно проверенный ресурс разведки о киберугрозах». Тем не менее, Торнтон-Трамп добавляет, что «все, что CISA бросает на «Кев», должно быть исправлено как можно скорее», потому что «до того, как оно будет опубликовано, между обнаружением, проверкой / обратной разработкой и уведомлением, вероятно, проходит более чем несколько дней. Не говоря уже о целой куче согласований».
Следуй за мной на Твиттер или LinkedIn. Проверить мой Веб-сайт или другие мои работы здесь.