„Microsoft“ neseniai įspėjo „Windows“ vartotojus atnaujinti savo sistemas, nes buvo pastebėta nauja nulinės dienos ataka. „Techcrunch“ teigimu, ataka išnaudoja „Windows Common Log File System“ (CLFS) pažeidžiamumą. Tai leidžia užpuolikams gauti visišką prieigą prie nepataisytos sistemos.
Šią savaitę „Microsoft“ aptiko 132 saugos trūkumus visose produktų linijose, įskaitant iš viso šešis nulinės dienos trūkumus, kurie jau buvo aktyviai išnaudoti. Dėl šios priežasties „Windows“ saugos ekspertai pataria vartotojams nedelsiant atnaujinti savo sistemas.
Nulinės dienos ataka yra tam tikros rūšies kibernetinė ataka, kurios metu išnaudojama programinės įrangos programėlės ar sistemos spraga, kurios niekas anksčiau nežinojo. Šis pažeidžiamumas vadinamas nulinės dienos, nes programinės įrangos pardavėjas to nežino ir neturi pataisos, kuri ją ištaisytų. Nulinės dienos atakos daugiausia pavojingos, nes jas galima panaudoti tikslinėms atakoms prieš konkrečius prekės ženklus ar žmones.
„Windows zero-day“ ataka išnaudoja „Windows Common Log File System“ (CLFS) pažeidžiamumą. Tai naudojama žurnalo failams tvarkyti „Windows“ sistemose. Pažeidžiamumas leidžia užpuolikams gauti visišką prieigą prie sistemos, kuri neturi pataisos. Tada jis gali būti naudojamas išpirkos reikalaujančios programinės įrangos atakai arba kitokio tipo kibernetinėms atakoms pradėti.
Pasak Rusijos kibernetinio saugumo bendrovės „Kaspersky“, nulinės dienos ataka buvo panaudota „Nokoyawa“ išpirkos reikalaujančios programinės įrangos diegimui. Ši išpirkos reikalaujanti programa skirta „Windows“ serveriams, kurie priklauso mažiems ir vidutinio dydžio prekių ženklams Artimuosiuose Rytuose, Šiaurės Amerikoje ir Azijoje.
„Forbes“ teigimu, viena iš nulinių dienų yra nuotolinio kodo vykdymo tipas. Oficialioje „Microsoft“ ataskaitoje teigiama, kad šis pažeidžiamumas turi sąsajų su „RomCom“, Rusijos kibernetinių nusikaltimų grupe. Be to, „Microsoft“ teigia, kad ši grupė greičiausiai dirba su Rusijos žvalgybos susidomėjimu. „Rapid7“ pažeidžiamumo rizikos ekspertas Adamas Barnettas perspėja, kad „RomCom“ atakos dažniausiai nukreiptos į platų aukų skaičių. Tačiau „Microsoft“ turi naują pataisą, o visas spragų, kurias tvarko pataisa, sąrašas yra jos saugos naujinimo vadove.
„Microsoft“ teigia, kad tiria „ataskaitas apie nuotolinio kodo vykdymo spragas, turinčias įtakos „Windows“ ir „Office“ produktams. „Microsoft“ žino apie tikslines atakas, kuriomis bandoma išnaudoti šias spragas naudojant specialiai sukurtus „Microsoft Office“ dokumentus.“ Pažvelkime į keletą svarbių nulinių dienų, su kuriomis įmonė turėjo susidurti.
CVE-2023-36884
Šiuo metu nėra CVE-2023-36884 pataisos ir „Microsoft“ tai oficialiai patvirtino, tačiau bendrovė teigia, kad problemą tiria. Bendrovė priduria, kad po to, kai bus atliktas testavimas, ji „imsis atitinkamų veiksmų, kad padėtų apsaugoti savo klientus“.
„Microsoft“ viešoje erdvėje ilgam nepaliks išnaudotos nulinės dienos. Taigi, kai tik testavimas bus baigtas, įmonė greičiausiai nelauks kito mėnesio pataisų antradienio išleidimo. Bendrovė taip pat greičiausiai išleis pataisą kaip išorinį saugos naujinį. Šiuo metu „Microsoft“ turi tinklaraščio įrašą, kuriame vartotojams siūlomas tam tikras sprendimas. Jei jums reikia laikino sprendimo, spustelėkite čia.
CVE-2023-32046
CVE-2023-32046 yra nulinės dienos ataka, paveikianti MSHTML pagrindą „Windows“ sistemoje. „Immersive Labs“ kibernetinių grėsmių tyrimų direktorius Kevas Breenas sakė: „Tai neapsiriboja naršyklėmis – kitos programos, tokios kaip „Office“, „Outlook“ ir „Skype“, taip pat naudoja šį komponentą.“
Breenas pridūrė: „Šis pažeidžiamumas greičiausiai būtų naudojamas kaip pradinis infekcijos pernešėjas. Tai leidžia užpuolikui gauti kodo vykdymą, kai vartotojas spusteli nuorodą arba atidaro dokumentą.
CVE-2023-36874
Šis nulinės dienos pažeidžiamumas daugiausia atakuoja „Windows Error Reporting“ (WER) paslaugą. Jei užpuolikui pasiseks, jis turės administratoriaus prieigą ir privilegijas prie sistemos. „Automox“ produkto saugos darbuotojas Tomas Bowyeris sakė: „WER paslauga yra „Microsoft Windows“ operacinių sistemų funkcija, kuri renka ir siunčia klaidų ataskaitas „Microsoft“, kai tam tikra programinė įranga sugenda arba susiduria su kitų tipų klaidomis.
„Ši nulinės dienos problema yra aktyviai išnaudojama… taigi, jei jūsų organizacija naudoja WER, rekomenduojame įsirašyti pataisą per 24 valandas.“
CVE-2023-32049
CVE-2023-32049 yra kita problema, kuri buvo išnaudojama ir puola „Windows Smart Screen“ funkciją. Ji gali apeiti „Windows Smart Screen“ funkciją ir atlikti pakeitimus. „Ivanti“ saugumo produktų viceprezidentas Chrisas Goettlas sakė:
„CVE vertinamas kaip svarbus, tačiau „Microsoft“ patvirtino pranešimus apie šios problemos išnaudojimą, todėl skubumas didėja iki kritinio.“
Norėdami apsisaugoti nuo šios nulinės dienos atakos, „Windows“ vartotojai turi kuo greičiau įdiegti „Microsoft“ pataisą. Saugumo ekspertai, tokie kaip Kevas Breenas, paskelbė griežtą įspėjimą, kad vartotojai turi nedelsdami atnaujinti savo sistemas. Jis taip pat perspėja: „Kadangi yra aktyviai išnaudojami 5 CVE, o dėl vienos užpuolikų technikų taip pat pateiktas įspėjimas, dabar ne metas laukti su atnaujinimais“. Jis prašo vartotojų teikti pirmenybę šioms pataisoms, kad jų įrenginiai būtų saugūs.
Nulinės dienos atakos yra rimta grėsmė prekių ženklams ir žmonėms, todėl „Windows“ vartotojai turi būti atsargūs. „Security Week“ teigia, kad šiais metais buvo užfiksuota mažiausiai 19 nulinės dienos atakų. „Microsoft“ pastaraisiais mėnesiais ištaisė keletą nulinės dienos problemų, tad vartotojams naudinga kartas nuo karto atnaujinti savo sistemą, kad apsaugotų ją nuo kenksmingo poveikio.
