Microsoft: Κυκλοφόρησε ενημερώσεις για ελαττώματα ασφαλείας
Η Microsoft κυκλοφόρησε επιδιορθώσεις που αντιμετωπίζουν 143 προβλήματα ασφαλείας στο πλαίσιο των μηνιαίων ενημερώσεών της. Ανάμεσά τους περιλαμβάνονται δύο ευπάθειες που οι χάκερς ήδη εκμεταλλεύονται: CVE-2024-38080 (Αύξηση δικαιωμάτων στο Windows Hyper-V) και CVE-2024-38112 (Πλαστογράφηση της πλατφόρμας MSHTML των Windows).
Από τις ευπάθειες αυτές, πέντε χαρακτηρίζονται ως κρίσιμες, 136 ως σημαντικές και τέσσερις ως μέτριες. Οι ενημερώσεις περιλαμβάνουν επίσης επιδιορθώσεις για 33 ευπάθειες στον Edge Browser που βασίζεται στο Chromium.
Το CVE-2024-38112 περιλαμβάνει επιθέσεις όπου οι χάκερς χρησιμοποιούν ειδικά διαμορφωμένα αρχεία Windows Internet Shortcut για να ανακατευθύνουν τα θύματα σε κακόβουλες διευθύνσεις URL μέσω του Internet Explorer. Αυτή η τεχνική επίθεσης χρησιμοποιείται από τον Ιανουάριο του 2023 και έχει στοχεύσει κυριώς χρήστες στην Τουρκία και το Βιετνάμ με το κακόβουλο λογισμικό ονόματι Atlantida, το οποίο κλέβει διαπιστευτήρια σύνδεσης και άλλα ευαίσθητα δεδομένα.
Το CVE-2024-38080 επιτρέπει σε χάκερς να αποκτήσουν δικαιώματα επιπέδου SYSTEM σε παραβιασμένα συστήματα. Πρόκειται για την πρώτη από τις 44 ευπάθειες του Hyper-V που έχουν εκμεταλλευτεί οι κακόβουλοι χρήστες από το 2022.
Άλλες σημαντικές επιδιορθώσεις περιλαμβάνουν το CVE-2024-37985, μια side-channel επίθεση σε συστήματα βασισμένα σε Arm, και το CVE-2024-35264, ένα σφάλμα απομακρυσμένης εκτέλεσης κώδικα στο .NET και το Visual Studio. Επιπλέον, έγιναν επιδιορθώσεις για τον SQL Server Native Client OLE DB Provider, ευπάθειες παράκαμψης ασφαλείας στο Secure Boot, σφάλματα κλιμάκωσης προνομίων στο PowerShell, και μια ευπάθεια στο πρωτόκολλο RADIUS.
Η Microsoft αντιμετώπισε πολλές ευπάθειες ασφαλείας, συμπεριλαμβανομένης της CVE-2024-38021, μιας σοβαρής ευπάθειας απομακρυσμένης εκτέλεσης κώδικα στο Microsoft Office με βαθμολογία CVSS 8.8. Σύμφωνα με αναφορά της Morphisec, αυτή η zero-click ευπάθεια επιτρέπει στους χάκερς να αποκτήσουν υψηλά δικαιώματα χρήστη χωρίς τη συγκατάθεση του νόμιμου χρήστη.
Η Microsoft θα αρχίσει να εκδίδει αναγνωριστικά CVE για ευπάθειες που αφορούν το cloud, ενισχύοντας έτσι τη διαφάνεια.
