Microsoft: ismeretlen támadó, veszélyes privilégiumemelés
A legfontosabb hiba a Windows Cloud Files Mini Filter Driverben talált, 7,8-as CVSS-pontszámú sebezhetőség, melyet már kihasználnak támadók – ez az úgynevezett nulla napos sérülékenység. A támadónak ehhez előzetesen nem szükséges rendszerszintű hozzáférés, de kódfuttatási jogra szert kell tennie a célgépen. Ha ezt eléri, könnyedén jogot emelhet és teljes rendszerhozzáférést szerezhet. Emiatt ez a frissítés élvez prioritást, ahogy több szakértő is kiemelte, hiszen szinte minden kompromittált rendszernél ilyen privilégiumemelési hibát használnak a támadók.
Emellett két további, nyilvánosan ismert, de még nem aktívan kihasznált sebezhetőség is helyet kapott: a PowerShellen keresztüli távoli kódvégrehajtás (ismét 7,8-as súlyosság), valamint a GitHub Copilot for JetBrains egy hibája, amelynek súlyossága 8,4-es pontszámot kapott, és távoli kódfuttatásra is lehetőséget teremt. Utóbbinál lehetséges, hogy egy támadó célzott átveréssel (social engineering) eléri, hogy a felhasználó engedély nélkül hajtson végre parancsokat.
Notepad++: kiskapu a frissítőn keresztül
Ami ezután történt, az mindenkit meglepett: a Notepad++ egy súlyos hibát javított, melyet támadók Kínában már aktívan kihasználtak. A WinGUp frissítőrendszere lehetővé tette, hogy valaki eltérítse az adatforgalmat, így a felhasználó akaratán kívül rosszindulatú programot tölthetett le a legitim frissítés helyett. A projekt karbantartója szerint a probléma gyökere abban volt, hogy a frissítő nem ellenőrizte megfelelően a letöltött fájl valódiságát és épségét. A 8.8.9-es verzióval már javították a hibát, így mindenkinek ajánlott azonnal frissíteni.
Fortinet: kritikus, 9,1-es sérülékenységek sorozata
A Fortinet biztonsági termékei közül a FortiOS, a FortiWeb, a FortiProxy és a FortiSwitch Manager is veszélybe került. Két kritikus, egyenként 9,1-es pontszámot kapott hiba lehetővé tette, hogy egy támadó SAML-üzenetek manipulálásával megkerülje a FortiCloud SSO bejelentkezést – igaz, csak akkor, ha ez a funkció engedélyezve van az eszközön. Alapértelmezett gyári beállításokkal ez nem aktív, de regisztráció után sokszor automatikusan bekapcsol. Akinek lehetősége van, kapcsolja ki a funkciót, amíg nem frissít egy nem érintett verzióra, mert a támadók korábban is célba vették a Fortinet hibáit; legutóbb a FortiWeb tűzfalban fedeztek fel hasonló, aktívan kihasznált biztonsági rést.
Ivanti: távolról támadható, minden platformot érintő hiba
Végül az Ivanti Endpoint Managerben is egy súlyos, 9,6-os értékelésű sebezhetőséget javítottak. Egy támadó a hiba révén már bejelentkezés nélkül, teljesen távolról rosszindulatú kódot futtathat – mindezt úgy, hogy össze tudja kapcsolni a saját hamisított végpontját az EPM-szerverrel, majd ezzel megmérgezi a rendszergazdák adminisztrációs felületét. Amint egy admin megnyitja a mérgezett irányítópultot, a támadó átveheti az irányítást a hozzáférések felett. Bár most még nincs tömeges kihasználás, most, hogy a hiba nyilvános és javítva lett, várhatóan egyre többen próbálnak majd támadni – főleg, mivel ehhez hitelesítés sem kell.
A rendszergazdák számára világszerte egyértelmű: most kell alkalmazni az összes frissítést, mielőtt bármelyik hackerbanda újabb, teljes körű kibertámadásokat indítana.
