Olulised turvanõrkused 2023. aasta 32. nädalal

Microsoft paikas kaks aktiivselt kuritarvitatud nullpäeva turvanõrkust

Microsoft parandas augustikuu turvauuendustega 87 turvaviga, millest kuus on hinnatud kriitiliseks. Parandatud turvanõrkuste seas oli ka kaks nullpäeva haavatavust. Microsoft liigitab haavatavuse nullpäevaks, kui see on avalikustatud või seda on aktiivselt ära kasutatud ilma ametliku paranduseta. Esimest nullpäeva haavatavust CVE-2023-36884 saavad ründajad kuritarvitada selleks, et käivitada ohvri seadmes pahaloomulist koodi. See on võimalik, kuna antud turvanõrkus võimaldab ühest Microsoft Office’i turvameetmest (MoTW) mööda pääseda. Teise nullpäeva turvavea abil (tähistusega CVE-2023-38180) saab ründaja teostada teenusetõkestusründe .NET ja Visual Studio rakenduste vastu. Kui mõni Microsofti tarkvara uuendust pakub, soovitame selle esimesel võimalusel rakendada. Nimekirja kõikidest paigatud turvanõrkustest näete viidatud allikates (BP, SW, SA).

Codesysi tarkvaras peituvad vead ohustavad tööstusseadmeid

Microsoft avastas Codesysi tarkvaras üle 12 turvaaugu, mida saab ära kasutada tööstusseadmete töö segamiseks või tundliku teabe varastamiseks. Codesys toodab juhtimissüsteemide automatiseerimistarkvara ja ettevõtte tooteid kasutavad mõned maailma suurimad tööstuslike juhtimissüsteemide (ICS) tootjad. Kokku leiti Codesys Control V3 versioonides, mis on vanemad kui 3.5.19.0, 16 turvaauku. Kõigile haavatavustele on määratud suhteliselt kõrge raskusastme tase (maksimaalselt CVSSv3 8.8/10.0).

Ründajad võivad neid haavatavusi ära kasutada programmeeritavate loogikakontrollerite (PLC) ja muude ICS-seadmete sihtimiseks. Microsofti keskendus enda uurimuses Schneider Electricu ja Wago valmistatud PLC-dele. Siiski nõuab avastatud haavatavuste ärakasutamine kasutajapoolset autentimist, samuti põhjalikke teadmisi Codesys v3 protokolli ja seda kasutavate erinevate teenuste struktuuri kohta.

Microsoft on avalikustanud põhjaliku blogipostituse, millega saab tutvuda siin. Blogipostituses soovitatakse muuhulgas mõjutatud seadmed esimesel võimalusel uuendada, samuti tuleb veenduda, et kõik kriitilised seadmed (nagu näiteks PLC-d) ei oleks avalikult kättesaadavad, hoolimata sellest, kas need kasutavad Codesysi tarkvara või mitte. Samuti pakutakse avatud lähtekoodiga tööriista, mille abil on võimalik kasutajatel mõjutatud seadmed tuvastada. Täpsemalt saab selle kohta lugeda viidatud linkidelt (MS, SW).  

Adobe paikas enda toodetel mitukümmend turvanõrkust

Adobe paikas kokku 30 haavatavust, mis mõjutavad tarkvarasid Acrobat DC, Acrobat Reader DC, Acrobat 2020 ja Acrobat Reader 2020. Eduka ründe korral on võimalik turvaseadistustest mööda minna, käivitada pahatahtlikku koodi ja teenuseid tõkestada. Soovitame kõigil kasutajatel Adobe tarkvara uuendada (SW, Adobe).

Uued protsessorite vastu suunatud ründemeetodid võivad paljastada tundlikku teavet

Esimese uue ründemeetodi avastas Google ja seda tuntakse nimetuse all Downfall. Konkreetse ründe käigus kasutatakse ära turvanõrkust CVE-2022-40982. Sarnaselt muudele protsessori vastu suunatud ründemeetoditele võib Downfalli ära kasutada süsteemile ligipääsu saanud ründaja või pahavara, et hankida seadme kasutajaga seotud tundlikku teavet, näiteks paroole. Antud ründemeetod töötab avastajate sõnul ka pilvekeskkondade vastu. Inteli sõnul kasutati ründemeetodi tõestamiseks spetsiifilisi tingimusi ja seda meetodit on väga keeruline ilma nende tingimusteta kasutada. Siiski pakub ettevõte mõjuatud platvormidele uuenduse. Ründemeetodi vastu on kaitstud hiljutised Inteli protsessorid nagu Alder Lake, Raptor lake ja Sapphire Rapids (SW).

Hiljuti avalikustas Google ka Zenbleedi-nimelise haavatavuse, mis mõjutab AMD Zen 2 protsessoreid ja lubab ründajal tundlikule teabele ligi pääseda. Samuti teavitasid ETH Zürichi ülikooli teadlased avalikkust veel ühest protsessorite vastu suunatud ründemeetodist, mille abil on võimalik tundlikule informatsioonile ligi pääseda ja mis mõjutab AMD Zeni protsessoreid (SW).