CVE-2017-0016, CVE-2017-0037, CVE-2017-0038 zijn drie recent ontdekt Microsoft kwetsbaarheden die brengen weer licht de werkgelegenheid van de bescherming van Intrusion Prevention System (IPS), zoals opgemerkt door TrendMicro onderzoekers. IPS, ook wel bekend als Virtual Patching, Helpt te beschermen tegen kwetsbaarheden, zelfs in gevallen waarin patched nog niet vrijgegeven. De drie Microsoft fouten waren in de volgende onderdelen: Core SMB dienst, Internet Explorer en Edge browsers, en de Graphics Device Interface.
Wat is Virtual Patching (IPS)?
Zoals uitgelegd door TechTarget , virtual patching is de snelle ontwikkeling en het op korte termijn uitvoering van een veiligheidsbeleid bedoeld om te voorkomen dat een exploit gebeurt als gevolg van een nieuw gevonden zekerheid bug.
Een virtuele patch wordt soms gesynchroniseerd een webapplicatie firewall (WAF). Belangrijker, een virtuele patch bewaakt de missie-kritische onderdelen die online moet blijven. Op deze manier belangrijke operaties zal niet worden onderschept als het gebeurt wanneer een conventionele patch wordt toegepast in een noodsituatie.
Verwant: ESET CVE-2016-9892 Flaw bloot Macs aan externe code worden uitgevoerd
TrendMicro onderzoekers onderstrepen het belang van virtuele patching als een manier om mitigatie tegen CVE-2017-0016, CVE-2017-0037, CVE-2017-0038 in afwezigheid van pleisters.
CVE-2017-0016: Onder de loep
De fout is een geheugenbeschadiging een en bevindt zich in de manier waarop Windows omgaat met SMB-verkeer. Een aanval op het systeem gebeuren moet worden aangesloten op een schadelijke SMB-server die servers pakketten waardoor de computer crasht. Proof-of-concept exploit code is al gedaan voor deze ene, en zijn publiekelijk verkrijgbaar.
Gelukkig, de fout niet leiden tot uitvoering van externe code en kan alleen maar leiden tot een denial of service-aanval. In termen van mitigatie, TrendMicro onderzoekers adviseren het volgende:
– Beperk uitgaande toegang op de poorten 139 en 445.
– Implementeren IPS bescherming.
CVE-2017-0037: in Detail
Deze fout is een soort verwarring fout in Internet Explorer en Edge browsers. Voor de fout te worden benut, de aanvaller zou moeten maken van de gebruiker naar een kwaadaardige link die meestal verstuurd via e-mail of chatten, of ingesloten in documenten.
De uitkomst van een CVE-2017-0037 exploit is het uitvoeren van willekeurige code met dezelfde rechten als de ingelogde gebruiker.
Verwant: 15,000 Beveiligingslekken gecatalogiseerd in 2016, CVE Gebreken overschreden
De onderzoekers adviseren de volgende voor mitigatie doeleinden:
– Implementeren IPS bescherming
– E-mail filtering voor phishing-aanvallen
– Web Reputation te blokkeren gehoste scripts
– Verminder accounts met beheerdersrechten om risico's te verminderen
CVE-2017-0038: in Detail
Dit is een fout in de Graphics Device Interface onderdeel van Windows OS. Een aanvaller moet de gebruiker te lokken naar een lettertype of een afbeelding die kan worden ingebed in een document maken. Dit zou kunnen gebeuren via e-mail wanneer een schadelijke bijlage wordt geserveerd, of door middel van file-sharing diensten.
Het resultaat van een succesvolle hier exploit is de openbaarmaking van het geheugen meestal eindigend met lekken van gevoelige informatie. Beschikbare beperkende factoren omvatten:
– Implementeren IPS bescherming.
– Educate werknemers om geen bijlagen openen, en de banden alleen open van betrouwbare bronnen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: