16 нових вразливостей безпеки, які можуть наражати системи, що використовують програмне забезпечення Microsoft, на ризик атак

Сканування для виявлення комп'ютерів Windows, уражених вразливостями

Департамент інформаційної безпеки ( Міністерство інформації та зв'язку ) щойно надіслав попередження про 16 високорівневих та серйозних вразливостей безпеки в продуктах Microsoft підрозділам ІТ та інформаційної безпеки міністерств, галузей та місцевих органів влади; державним корпораціям та групам, акціонерним комерційним банкам та фінансовим установам.

Вищезазначені вразливості були попереджені Департаментом інформаційної безпеки на основі оцінки та аналізу списку виправлень за квітень 2024 року, оголошеного Microsoft, який містить 147 вразливостей у продуктах технологічної компанії.

Серед 16 нещодавно виявлених вразливостей безпеки є 2, на які експерти рекомендують звернути особливу увагу, а саме: вразливість CVE-2024-20678 у середовищі виконання віддалених процедур виклику (RPC) (компонент Windows, що забезпечує зв'язок між різними процесами в системі через мережу), що дозволяє зловмисникам виконувати код віддалено; вразливість CVE-2024-29988 у SmartScreen (функція безпеки, вбудована в Windows), що дозволяє зловмисникам обійти механізм захисту.

Список вразливостей безпеки в продуктах Microsoft, про які цього разу попереджено, також включає 12 вразливостей, які дозволяють зловмисникам виконувати код віддалено, зокрема: 3 вразливості CVE-2024-21322, CVE-2024-21323, CVE2024-29053 у «Microsoft Defender for IoT»; вразливість CVE-2024-26256 у бібліотеці з відкритим кодом Libarchive; вразливість CVE-2024-26257 у електронній таблиці Microsoft Excel; 7 вразливостей CVE-2024-26221, CVE-2024-26222, CVE2024-26223, CVE-2024-26224, CVE-2024-26227, CVE-2024-26231 та CVE2024-26233 у «Windows DNS Server».

Крім того, підрозділам також рекомендується звернути увагу на дві вразливості, які дозволяють суб'єктам здійснювати атаки підміни, зокрема вразливість CVE-2024-20670 в програмному забезпеченні Outlook для Windows, яка розкриває «хеш NTML», та вразливість CVE-2024-26234 в драйвері проксі-сервера.

Департамент інформаційної безпеки рекомендує агентствам, організаціям та підприємствам перевіряти, переглядати та ідентифікувати комп'ютери з операційними системами Windows, які можуть бути уражені, а також оперативно оновлювати патчі, щоб уникнути ризику кібератак. Мета полягає в забезпеченні інформаційної безпеки інформаційних систем підрозділів, сприяючи забезпеченню безпеки кіберпростору В'єтнаму.

Підрозділам також рекомендується посилити моніторинг та підготувати плани реагування у разі виявлення ознак експлуатації та кібератак. Поряд з цим регулярно моніторити канали попередження компетентних органів та великих організацій з питань інформаційної безпеки для своєчасного виявлення ризиків кібератак.

Також у квітні Департамент інформаційної безпеки попередив та доручив підрозділам перевірити та виправити вразливість безпеки CVE-2024-3400 у програмному забезпеченні PAN-OS. Код експлойту цієї вразливості був використаний суб'єктом атаки на інформаційні системи багатьох установ та організацій. Підрозділам, які використовують програмне забезпечення PAN-OS, рекомендується оновити патч для уражених версій, випущених 14 квітня.

Пріоритетне вирішення потенційних ризиків у системі

Атака на системи шляхом використання вразливостей безпеки поширених програмних та технологічних рішень завжди вважається експертами однією з помітних тенденцій кібератак. Групи кібератак не лише використовують вразливості нульового дня (вразливості, які не були виявлені) або нові вразливості безпеки, оголошені компаніями, але й активно сканують раніше виявлені вразливості безпеки, щоб використати їх як трамплін для атаки на системи.

Однак насправді Департамент інформаційної безпеки та агентства й підрозділи, що працюють у сфері інформаційної безпеки, регулярно попереджають про нові вразливості або нові тенденції атак, але багато агентств і підрозділів насправді не приділяли уваги їхньому оперативному оновленню та вирішенню.

Розповідаючи про конкретний випадок підтримки організації, на яку було здійснено атаку наприкінці березня, експерт Ву Нгок Сон, технічний директор компанії NCS, сказав: «Після аналізу ми зрозуміли, що інцидент слід було вирішити раніше, оскільки цю організацію попередили про те, що обліковий запис адміністратора був скомпрометований і потребував негайного вирішення. Оскільки вони вважали, що обліковий запис адміністратора не є важливим, ця організація проігнорувала це та не займалася цим. Хакер використав обліковий запис адміністратора, скористався вразливістю, отримав права адміністратора та атакував систему».

Статистика, опублікована Департаментом інформаційної безпеки наприкінці минулого року, показала, що понад 70% організацій не приділяли уваги перевірці та обробці оновлень, а також виправленню вразливостей і слабких місць, про які було попереджено.

Зіткнувшись із вищезазначеною ситуацією, у 6 групах ключових завдань, рекомендованих міністерствам, галузям, місцевим органам влади, агентствам, організаціям та підприємствам для виконання у 2024 році, Департамент інформаційної безпеки звернувся до підрозділів з проханням надати пріоритет вирішенню потенційних ризиків або ризиків, які вже існують у системі.

«Підрозділи повинні розглянути відомі та існуючі ризики в системі, перш ніж розглядати інвестування для захисту від нових ризиків. Періодична перевірка та оцінка інформаційної безпеки відповідно до нормативних актів, а також пошук загроз для виявлення та усунення ризиків у системі є дуже важливими та потребують регулярного проведення», – наголосив представник Департаменту інформаційної безпеки.

Міністерство інформації та зв'язку створить платформу для підтримки раннього попередження про ризики інформаційної безпеки . Очікується, що ця платформа для управління, виявлення та раннього попередження про ризики інформаційної безпеки буде створена у 2024 році, автоматично повідомлятиме установи та організації про ризики, вразливості та слабкі місця в інформаційній системі підрозділу.