Til sin oktober Patch Tuesday-opdatering adresserede Microsoft en kritisk sikkerhedssårbarhed i sin Azure-cloud-tjeneste, med en sjælden 10-ud-af-10-rating på CVSS-sårbarhed-alvorlighedsskalaen.
Teknikgiganten lappede også to "vigtige"-bedømte nuldage-fejl, hvoraf den ene bliver aktivt udnyttet i naturen; og derudover kan der være et tredje problem, i SharePoint, som også bliver aktivt udnyttet.
Det er dog bemærkelsesværdigt, at Microsoft ikke udstedte rettelser til de to ikke-patchede Exchange Server zero-day-fejl der kom frem i slutningen af september.
I alt for oktober udgav Microsoft patches til 85 CVE'er, inklusive 15 kritiske fejl. Berørte produkter kører produktporteføljens farveskala som normalt: Microsoft Windows og Windows-komponenter; Azure, Azure Arc og Azure DevOps; Microsoft Edge (Chrom-baseret); Kontor og kontorkomponenter; Visual Studio Code; Active Directory Domain Services og Active Directory Certificate Services; Nu Get Client; Hyper-V; og Windows Resilient File System (ReFS).
Disse er ud over 11 patches til Microsoft Edge (Chromium-baseret) og en patch til sidekanalspekulation i ARM-processorer udgivet tidligere på måneden.
En perfekt 10: Sjælden ultrakritisk vuln
10-ud-af-10-fejlen (CVE-2022-37968) er et problem med elevation of privilege (EoP) og remote code-execution (RCE), der kan gøre det muligt for en uautoriseret angriber at få administrativ kontrol over Azure Arc-aktiverede Kubernetes-klynger; det kan også påvirke Azure Stack Edge-enheder.
Selvom cyberangribere skal kende det tilfældigt genererede DNS-slutpunkt, for at en Azure Arc-aktiveret Kubernetes-klynge kan lykkes, har udnyttelse en stor gevinst: De kan ophøje deres privilegier til klyngeadministrator og potentielt få kontrol over Kubernetes-klyngen.
"Hvis du bruger disse typer containere med en version lavere end 1.5.8, 1.6.19, 1.7.18 og 1.8.11, og de er tilgængelige fra internettet, skal du straks opgradere," Mike Walters, vicepræsident for sårbarhed og trusselsforskning hos Action1, advaret via e-mail.
Et par (måske en triade) af Zero-Day Patches – men ikke DISSE Patches
Den nye nul-dag bekræftet som værende under aktiv udnyttelse (CVE-2022-41033) er en EoP-sårbarhed i Windows COM+ Event System Service. Den har en CVSS-score på 7.8.
Windows COM+ Event System Service lanceres som standard med operativsystemet og er ansvarlig for at give meddelelser om logon og logoffs. Alle versioner af Windows, der starter med Windows 7 og Windows Server 2008, er sårbare, og et simpelt angreb kan føre til at få SYSTEM-privilegier, advarede forskere.
"Da dette er en privilegie-eskaleringsfejl, er den sandsynligvis parret med andre kodeudførelsesudnyttelser designet til at overtage et system," bemærkede Dustin Childs, fra Zero Day Initiative (ZDI), i en analyse i dag. "Disse typer angreb involverer ofte en eller anden form for social engineering, såsom at lokke en bruger til at åbne en vedhæftet fil eller browse til et ondsindet websted. På trods af næsten konstant anti-phishing-træning, især under 'Cyber Security Awareness Month,' har folk en tendens til at klikke på alt, så test og implementer denne rettelse hurtigt."
Satnam Narang, senior forskningsingeniør hos Tenable, bemærkede i en e-mail-recap, at en autentificeret angriber kunne udføre et specielt udformet program for at udnytte fejlen og ophøje privilegier til SYSTEM.
“Selvom udvidelse af privilegerede sårbarheder kræver, at en angriber får adgang til et system på andre måder, er de stadig et værdifuldt værktøj i en angribers værktøjskasse, og denne måneds Patch Tuesday har ingen mangel på elevation-of-privilege-fejl, da Microsoft patchede 39 , der tegner sig for næsten halvdelen af de fejl, der blev rettet (46.4 %),” sagde han.
Dette særlige EoP-problem burde gå til hovedet på linjen for patching, ifølge Action1s Walters.
“Installation af den nyligt udgivne patch er obligatorisk; ellers kan en angriber, der er logget på en gæste- eller almindelig brugercomputer, hurtigt få SYSTEM-privilegier på det system og være i stand til at gøre næsten hvad som helst med det,” skrev han i en e-mail-analyse. "Denne sårbarhed er især vigtig for organisationer, hvis infrastruktur er afhængig af Windows Server."
Den anden bekræftede offentligt kendte fejl (CVE-2022-41043) er et problem med offentliggørelse af oplysninger i Microsoft Office til Mac, der har en lav CVSS-risikovurdering på kun 4 ud af 10.
Waters pegede på et andet potentielt udnyttet nul-dag: et problem med fjernudførelse af kode (RCE) i SharePoint Server (CVE-2022-41036, CVSS 8.8), der påvirker alle versioner, der starter med SharePoint 2013 Service Pack 1.
"I et netværksbaseret angreb kunne en autentificeret modstander med tilladelser til at administrere liste udføre kode eksternt på SharePoint-serveren og eskalere til administrative tilladelser," sagde han.
Vigtigst af alt, "Microsoft rapporterer, at en udnyttelse sandsynligvis allerede er blevet oprettet og bliver brugt af hackergrupper, men der er intet bevis for dette endnu," sagde han. "Alligevel er denne sårbarhed værd at tage alvorligt, hvis du har en SharePoint Server åben til internettet."
Ingen ProxyNotShell Patches
Det skal bemærkes, at det ikke er de to nul-dages plastre, som forskerne havde forventet; disse fejl, CVE-2022-41040 og CVE-2022-41082, også kendt som ProxyNotShell, forblive uadresseret. Når de er kædet sammen, kan de tillade RCE på Exchange-servere.
"Det, der kan være mere interessant, er, hvad der ikke er inkluderet i denne måneds udgivelse. Der er ingen opdateringer til Exchange Server, på trods af at to Exchange-fejl er blevet aktivt udnyttet i mindst to uger,” skrev Childs. "Disse fejl blev købt af ZDI i begyndelsen af september og rapporteret til Microsoft på det tidspunkt. Uden nogen tilgængelige opdateringer til fuldt ud at løse disse fejl, er det bedste administratorer kan gøre at sikre, at september … Kumulativ opdatering (CU) er installeret."
"På trods af store forhåbninger om, at dagens Patch Tuesday-udgivelse ville indeholde rettelser til sårbarhederne, mangler Exchange Server iøjnefaldende på den første liste over oktober 2022 sikkerhedsopdateringer," siger Caitlin Condon, senior manager for sårbarhedsforskning hos Rapid7. "Microsofts anbefalede regel for blokering af kendte angrebsmønstre er blevet omgået flere gange, hvilket understreger nødvendigheden af en ægte rettelse."
I begyndelsen af september observerede Rapid7 Labs op til 191,000 potentielt sårbare tilfælde af Exchange Server udsat for internettet via port 443, tilføjer hun. Men i modsætning til ProxyShell
, ProxyLogon
udnytte kæder, kræver denne gruppe af fejl, at en angriber har autentificeret netværksadgang for vellykket udnyttelse.
"Indtil videre har angreb været begrænsede og målrettede," siger hun og tilføjer, "Det er usandsynligt, at det fortsætter, som tiden går, og trusselsaktører har flere muligheder for at få adgang og finpudse udnyttelseskæder. Vi vil næsten helt sikkert se yderligere sårbarheder efter godkendelse frigivet i de kommende måneder, men den virkelige bekymring ville være en uautentificeret angrebsvektor, der dukker op, når it- og sikkerhedsteam implementerer slutningen af året kodefrysning."
Administratorer Bemærk: Andre fejl, der skal prioriteres
For så vidt angår andre problemer, der skal prioriteres, har ZDI's Childs markeret to Windows Client Server Run-time Subsystem (CSRSS) EoP-fejl sporet som CVE-2022-37987
, CVE-2022-37989
(begge 7.8 CVSS).
"CVS-2022-37989 er en mislykket patch til CVE-2022-22047, en tidligere fejl, der så noget in-the-wild udnyttelse," forklarede han. "Denne sårbarhed skyldes, at CSRSS er for skånsom med at acceptere input fra upålidelige processer. Derimod er CVE-2022-37987 et nyt angreb, der virker ved at snyde CSRSS til at indlæse afhængighedsoplysninger fra en usikret placering."
Også bemærkelsesværdigt: Ni CVE'er kategoriseret som RCE-fejl med kritisk sværhedsgrad blev også rettet i dag, og syv af dem påvirker Point-to-Point Tunneling Protocol, ifølge Greg Wiseman, produktchef hos Rapid7. "[Disse] kræver, at en angriber vinder en race-tilstand for at udnytte dem," bemærkede han via e-mail.
Automox-forsker Jay Goodman tilføjer det CVE-2022-38048 (CVSS 7.8) påvirker alle understøttede versioner af Office, og de kan give en hacker mulighed for at tage kontrol over et system "hvor de frit kan installere programmer, se eller ændre data eller oprette nye konti på målsystemet med fulde brugerrettigheder ." Selvom sårbarheden er mindre tilbøjelig til at blive udnyttet, er angrebskompleksiteten ifølge Microsoft angivet som lav.
Og endelig advarer Gina Geisel, også en Automox-forsker, om det CVE-2022-38028
(CVSS 7.8), en Windows Print Spooler EoP-fejl, som en sårbarhed med lavt privilegium og lav kompleksitet, der ikke kræver brugerinteraktion.
"En angriber ville være nødt til at logge på et berørt system og køre et specielt udformet script eller program for at få systemprivilegier," bemærker hun. “Eksempler på disse angriberrettigheder inkluderer installation af programmer; ændring, ændring og sletning af data; oprettelse af nye konti med fulde brugerrettigheder; og bevæger sig sideværts rundt i netværk."
