Αυτός ο μήνας θα μπορούσε να είναι πιο προβληματικός για τους χρήστες των Windows από ό,τι συνήθως, καθώς η Microsoft επιβεβαίωσε τέσσερις απειλές zero-day, συμπεριλαμβανομένης μιας που μπορεί να παρακάμψει μια κρίσιμη λειτουργία ασφαλείας των Windows που βοηθά στην άμυνα έναντι επιθέσεων ransomware .
Τι είναι το CVE-2024-38217 και πώς βοηθάει τους χάκερ Ransomware;
Μόλις τον περασμένο μήνα, η Microsoft μας προειδοποίησε για ένα άλλο σοβαρό πρόβλημα ασφαλείας στα Windows, γνωστό ως CVE-2024-38213. Aυτό θα πρέπει να θεωρείται πολύ σοβαρό λόγω του γεγονότος ότι έχει ταξινομηθεί ως ευπάθεια zero day.
Σύμφωνα με τον ορισμό της Microsoft, μια ευπάθεια zero-day είναι ένα ελάττωμα για το οποίο «δεν έχει κυκλοφορήσει καμία επίσημη ενημέρωση κώδικα ή ενημέρωση ασφαλείας». Η Microsoft προσθέτει ότι τα τρωτά σημεία zero-day «έχουν συχνά υψηλά επίπεδα σοβαρότητας και υφίστανται ενεργή εκμετάλλευση».
Στην περίπτωση του CVE-2024-38217, η ευπάθεια έχει αποκαλυφθεί δημόσια και έχει εντοπιστεί ενεργή εκμετάλλευση. Αυτό το καθιστά το χειρότερο σενάριο, το οποίο μετριάζεται μόνο από το γεγονός ότι η ενημέρωση κώδικα περιλαμβάνεται στη νέα κυκλοφορία της ενημέρωσης ασφαλείας του Patch Tuesday.
Η νέα ευπάθεια zero-day στα Windows
Είναι αυτό που είναι γνωστό ως ευπάθεια παράκαμψης χαρακτηριστικών ασφαλείας, επειδή επιτρέπει σε έναν εισβολέα να παρακάμψει τους μηχανισμούς προστασίας που παρέχει το Mark of the Web για τους χρήστες των Windows.
«Αυτή η ευπάθεια επιτρέπει σε έναν εισβολέα να χειραγωγήσει τις προειδοποιήσεις ασφαλείας που συνήθως ενημερώνουν τους χρήστες για τους κινδύνους ανοίγματος αρχείων από άγνωστες ή μη αξιόπιστες πηγές», δήλωσε ο Saeed Abbasi, διευθυντής έρευνας ευπάθειας στην Qualys Threat Research Unit.
«Παρόμοιες παρακάμψεις MoTW έχουν ιστορικά συνδεθεί με επιθέσεις ransomware, όπου το διακύβευμα είναι υψηλό».
Η κρίσιμη απειλή Ransomware που αντιμετωπίζουν οι χρήστες των Windows
Μόλις τον περασμένο μήνα, η Microsoft εξέδωσε οδηγίες για μια άλλη ευπάθεια MotW στα Windows, γνωστή ως CVE-2024-38213. Αυτό το πρόβλημα επέτρεπε σε κακόβουλο λογισμικό, όπως το DarkGate, να μπει στους υπολογιστές των χρηστών. Το DarkGate είναι ένα είδος κακόβουλου λογισμικού που χρησιμοποιείται συχνά για να κρυπτογραφήσει τα αρχεία ενός υπολογιστή και να ζητήσει λύτρα από τον χρήστη για να τα αποκρυπτογραφήσει (ransomware).
Ο Satnam Narang, ανώτερος μηχανικός έρευνας προσωπικού στην Tenable, προειδοποιεί ότι, στην πραγματικότητα, υπάρχουν δύο τρωτά σημεία zero-day που μπορούν να παρακάμψουν τις λειτουργίες ασφαλείας σε αυτήν την τελευταία έκδοση ενημέρωσης ασφαλείας των Windows.
Το CVE-2024-38226 είναι ένα ελάττωμα του Microsoft Publisher και θα μπορούσε να οδηγήσει στην παράκαμψη σημαντικών λειτουργιών ασφαλείας που εμποδίζουν την εκτέλεση μακροεντολών του Microsoft Office.
Και στις δύο περιπτώσεις παράκαμψης, είπε ο Narang, «ο στόχος πρέπει να πειστεί να ανοίξει ένα ειδικά δημιουργημένο αρχείο από έναν διακομιστή που ελέγχεται από τους εισβολείς. Εκεί που διαφέρουν είναι ότι ένας εισβολέας θα πρέπει να πιστοποιηθεί στο σύστημα και να έχει τοπική πρόσβαση σε αυτό για να εκμεταλλευτεί το CVE-2024-38226».
Ο Narang προτρέπει τους οργανισμούς να βάλουν αυτές τις ευπάθειες στην κορυφή της λίστας αποκατάστασης απειλών.