CISA opfordrer til patch af udnyttet Windows 11-fejl inden den 2. august

En Windows 11-sårbarhed, som er en del af Microsofts Patch Tuesday-opsamling af rettelser, bliver udnyttet i naturen, hvilket får US Cybersecurity and Infrastructure Security Agency (CISA) til at rådgive om patching af udvidelsen af ​​privilegier inden den 2. august.

Anbefalingen er rettet mod føderale agenturer og bekymringer CVE-2022-22047, en sårbarhed, der har en CVSS-score på høj (7.8) og afslører Windows Client Server Runtime Subsystem (CSRSS) brugt i Windows 11 (og tidligere versioner, der går tilbage til 7) og også Windows Server 2022 (og tidligere versioner 2008, 2012, 2016 og 2019) til at angribe.

[GRATIS on-demand begivenhed: Slut dig til Keeper Securitys Zane Bond i et Threatpost-rundbord, og lær, hvordan du sikkert får adgang til dine maskiner fra hvor som helst og deler følsomme dokumenter fra dit hjemmekontor. SE HER.]

CSRSS-fejlen er en sårbarhed over forhøjelse af privilegier, der gør det muligt for modstandere med et forudetableret fodfæste på et målrettet system at udføre kode som en uprivilegeret bruger. Da fejlen første gang blev rapporteret af Microsofts eget sikkerhedsteam tidligere på måneden, blev den klassificeret som en nuldag eller en kendt fejl uden patch. Den patch blev gjort tilgængelig på Tirsdag den 5. juli.

Forskere ved FortiGuard Labs, en afdeling af Fortinet, sagde, at truslen, som fejlen udgør for erhvervslivet, er "medium". I en bulletin forklarer forskere den nedjusterede vurdering, fordi en modstander har brug for avanceret "lokal" eller fysisk adgang til det målrettede system for at udnytte fejlen, og en patch er tilgængelig.

Når det er sagt, kan en angriber, der tidligere har fået fjernadgang til et computersystem (via malwareinfektion), udnytte sårbarheden eksternt.

"Selvom der ikke er yderligere oplysninger om udnyttelse frigivet af Microsoft, kan det formodes, at en ukendt fjernudførelse af kode gjorde det muligt for en angriber at udføre lateral bevægelse og eskalere privilegier på maskiner, der er sårbare over for CVE-2022-22047, hvilket i sidste ende muliggjorde SYSTEM-privilegier, ” skrev FortiGuard Labs.

Indgangspunkter for Office og Adobe Documents

Mens sårbarheden aktivt udnyttes, er der ingen kendte offentlige beviser for konceptudnyttelser i naturen, som kan bruges til at afbøde eller nogle gange brænde angreb, ifølge en rapport fra The Record.

"Sårbarheden tillader en angriber at udføre kode som SYSTEM, forudsat at de kan udføre anden kode på målet," skrev Trend Micros Zero Day Initiative (ZDI) i sin Patch Tuesday roundup i sidste uge.

“Bugs af denne type er typisk parret med en kodeudførelsesfejl, normalt et specialudformet Office- eller Adobe-dokument, for at overtage et system. Disse angreb er ofte afhængige af makroer, hvilket er grunden til, at så mange var modløse over at høre Microsofts forsinkelse med at blokere alle Office-makroer som standard,” skrev ZDI-forfatteren Dustin Childs.

Microsoft sagde for nylig, at det ville blokere brugen af ​​Visual Basic for Applications (VBA)-makroer som standard i nogle af dets Office-apps, men der er ingen tidslinje, der håndhæver politikken.

CISA tilføjede Microsoft-fejlen til sin køreliste af kendte udnyttede sårbarheder den 7. juli (søg "CVE-2022-22047" for at finde posten) og anbefaler ganske enkelt "anvend opdateringer efter leverandørens instruktioner".

[GRATIS on-demand begivenhed: Slut dig til Keeper Securitys Zane Bond i et Threatpost-rundbord, og lær, hvordan du sikkert får adgang til dine maskiner fra hvor som helst og deler følsomme dokumenter fra dit hjemmekontor. SE HER.]

Billede: Udlånt af Microsoft