Husk dem Udveksling af nul-dage der opstod i en flamme af omtale tilbage i september 2022?
Disse fejl og angreb baseret på dem blev vittigt, men vildledende døbt ProxyNotShell fordi de involverede sårbarheder mindede om ProxyShell sikkerhedsfejl i Exchange, der ramte nyhederne i august 2021.
Heldigvis, i modsætning til ProxyShell, var de nye fejl ikke direkte udnyttelige af nogen med en internetforbindelse og en misforstået følelse af cybersikkerhedseventyr.
Denne gang havde du brug for en autentificeret forbindelse, hvilket typisk betyder, at du først skulle erhverve eller korrekt gætte en eksisterende brugers e-mail-adgangskode og derefter gøre et bevidst forsøg på at logge ind, hvor du vidste, du ikke skulle være, før du kunne udføre enhver "forskning" for at "hjælpe" serverens systemadministratorer med deres arbejde:
Klik og træk på lydbølgerne nedenfor for at springe til ethvert punkt. Du kan også lytte direkte på Soundcloud.
Som en sidebemærkning formoder vi, at mange af de tusindvis af selvudnævnte "cybersikkerhedsforskere", der var glade for at undersøge andres servere "for sjov", da Log4Shell- og ProxyShell-fejlene var i højsædet, gjorde det velvidende, at de kunne falde tilbage på uskyldsformodningen, hvis den bliver fanget og kritiseret. Men vi formoder, at de tænkte sig om to gange, før de blev fanget i rent faktisk at foregive at være brugere, de vidste, de ikke var, forsøge at få adgang til servere under dække af konti, de vidste, skulle være off-limits, og derefter falde tilbage på "vi var kun forsøger at hjælpe” undskyldning.
Så selvom vi håbet at Microsoft ville komme med en hurtig løsning uden for båndet, det gjorde vi ikke forvente en ...
…og vi antog derfor, sandsynligvis til fælles med de fleste Naked Security-læsere, at patcherne ville ankomme roligt og uden hastværk som en del af oktober 2022 Patch Tuesday, stadig mere end to uger væk.
Når alt kommer til alt, er det at skynde sig ud af cybersikkerhedsrettelser lidt som at løbe med en saks eller bruge det øverste trin på en trappestige: Der er måder at gøre det sikkert på, hvis du virkelig skal, men det er bedre helt at undgå at gøre det, hvis du kan.
Dog plastrene optrådte ikke på Patch Tuesday enten, ganske vist til vores milde overraskelse, selvom vi følte os så godt som sikre på, at rettelserne ville dukke op senest i november 2022 Patch Tuesday:
Patch tirsdag kort fortalt – en 0-dages fast, men ingen patches til Exchange!
Spændende nok tog vi fejl igen (strengt taget i det mindste): den ProxyNotShell patches nåede det ikke ind Novembers Patch Tuesday, men de blev lappet on Patch Tuesday, ankommer i stedet i en række af Exchange sikkerhedsopdateringer (SU'er) udgivet samme dag:
November 2022 [Exchange] SU'erne er tilgængelige for [Exchange 2013, 2016 og 2019].
Fordi vi er opmærksomme på aktive udnyttelser af relaterede sårbarheder (begrænsede målrettede angreb), er vores anbefaling at installere disse opdateringer med det samme for at være beskyttet mod disse angreb.
November 2022 SU'erne indeholder rettelser til nul-dages sårbarheder, der blev rapporteret offentligt den 29. september 2022 (CVE-2022-41040 og CVE-2022-41082).
Disse sårbarheder påvirker Exchange Server. Exchange Online-kunder er allerede beskyttet mod de sårbarheder, der behandles i disse SU'er, og behøver ikke at foretage sig andre handlinger end at opdatere Exchange-servere i deres miljø.
Vi gætter på, at disse rettelser ikke var en del af den almindelige Patch Tuesday-mekanisme, fordi de ikke er, hvad Microsoft omtaler som CU'er, en forkortelse for kumulative opdateringer.
Det betyder, at du først skal sikre dig, at din nuværende Exchange-installation er opdateret nok til at acceptere de nye patches, og den forberedende proces er lidt anderledes afhængigt af, hvilken Exchange-version du har.
62 huller mere, 4 nye nul-dage
Disse gamle Exchange-fejl var ikke de eneste nul-dage, der blev rettet på Patch Tuesday.
De almindelige Windows Patch Tuesday-opdateringer omhandler yderligere 62 sikkerhedshuller, hvoraf fire er fejl, som ukendte angribere fandt først, og som allerede udnytter til ikke-oplyste formål, eller nul-dage for kort.
(Zero fordi der var nul dage, hvor du kunne have anvendt programrettelserne foran skurkene, uanset hvor hurtigt du implementerer opdateringer.)
Vi vil hurtigt opsummere disse fire nul-dage fejl her; for mere detaljeret dækning af alle 62 sårbarheder sammen med statistik om distributionen af fejlene generelt, se venligst SophosLabs rapport på vores søsterside Sophos News:
Microsoft retter 62 sårbarheder, inklusive Kerberos og Mark of the Web, og Exchange ... en slags
Nul-dage rettet i denne måneds Patch Tuesday-rettelser:
- CVE-2022-41128: Sårbarhed for fjernudførelse af kode i Windows-scriptsprog. Titlen siger det hele: booby-fangede scripts fra et eksternt websted kunne undslippe fra sandkassen, der formodes at gøre dem harmløse, og køre kode efter en angribers valg. Typisk betyder dette, at selv en velinformeret bruger, der blot kiggede på en webside på en server, der er fanget i snavs, kan ende med at få malware, der snigende er implanteret på deres computer, uden at klikke på nogen download-links, se popup-vinduer eller klikke sig igennem sikkerhedsadvarsler. Tilsyneladende eksisterer denne fejl i Microsofts gamle
Jscript9JavaScript-motor, der ikke længere bruges i Edge (som nu bruger Googles V8 JavaScript-system), men stadig bruges af andre Microsoft-apps, inklusive den gamle Internet Explorer-browser. - CVE-2022-41073: Sårbarhed i Windows Print Spooler Elevation of Privilege. Printspoolere findes til at fange printeroutput fra mange forskellige programmer og brugere, og endda fra fjerncomputere, og derefter levere det på en ordnet måde til den ønskede enhed, selvom det var løbet tør for papir, da du prøvede at udskrive, eller allerede var optaget udskrive et længere job for en anden. Dette betyder typisk, at spoolere er programmatisk komplekse og kræver privilegier på systemniveau, så de kan fungere som "forhandlere" mellem uprivilegerede brugere og printerhardwaren. Windows Printer Spooler bruger den lokalt almægtige
SYSTEMkonto, og som Microsofts bulletinnoter: "En angriber, der med succes udnyttede denne sårbarhed, kan få SYSTEM-rettigheder." - CVE-2022-41125: Windows CNG Key Isolation Service Udvidelse af privilegier sårbarhed. Som i Print Spooler-fejlen ovenfor, skal angribere, der ønsker at udnytte dette hul, først have fodfæste på dit system. Men selvom de er logget ind som en almindelig bruger eller en gæst til at starte med, kan de ende med sysadmin-lignende kræfter ved at vride sig gennem dette sikkerhedshul. Ironisk nok eksisterer denne fejl i en specielt beskyttet proces, der køres som en del af det, der kaldes Windows LSA (lokal systemmyndighed), der formodes at gøre det svært for angribere at udtrække cachelagrede adgangskoder og kryptografiske nøgler ud af systemhukommelsen. Vi gætter på, at efter at have udnyttet denne fejl, ville angriberne være i stand til at omgå selve den sikkerhed, som Key Isolation Service selv formodes at levere, sammen med at omgå de fleste andre sikkerhedsindstillinger på computeren.
- CVE-2022-41091: Windows-mærke af websikkerhedsfunktionen omgå sårbarhed. Microsofts MoTW (mærke af nettet) er virksomhedens søde navn for det, der plejede at være kendt som Internet zoner: en "dataetiket" gemt sammen med en downloadet fil, der registrerer, hvor filen oprindeligt kom fra. Windows ændrer derefter automatisk sine sikkerhedsindstillinger i overensstemmelse hermed, hver gang du efterfølgende bruger filen. Det er bemærkelsesværdigt, at Office-filer, der er gemt fra e-mail-vedhæftede filer eller hentet uden for virksomheden, automatisk åbner op i såkaldte Beskyttet visning som standard, hvilket blokerer makroer og andet potentielt farligt indhold. Kort sagt betyder denne udnyttelse, at en angriber kan narre Windows til at gemme filer, der ikke er tillid til, uden at registrere korrekt, hvor de kom fra, og dermed udsætte dig eller dine kolleger for fare, når du senere åbner eller deler disse filer.
Hvad skal jeg gøre?
- Patch tidligt/lapper ofte. Fordi du kan.
- Hvis du har nogen lokale Exchange-servere, glem ikke at patche dem også, fordi Exchange 0-dages patches beskrevet ovenfor ikke vises som en del af den almindelige Patch Tuesday-opdateringsproces.
- Læs Sophos News-artiklen forum yderligere information på de andre 58 Patch Tuesday-rettelser, der ikke er eksplicit dækket her.
- Forsink ikke/gør det i dag. Fordi fire af fejlrettelserne er nyligt afslørede nul-dage, der allerede bliver misbrugt af aktive angribere.
- 0 dag
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- udveksling
- Exploit
- firewall
- Kaspersky
- malware
- Mcafee
- microsoft
- Naked Security
- Nexbloc
- patch tirsdag
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- Beskyttelse af personlige oplysninger
- VPN
- sårbarhed
- website sikkerhed
- zephyrnet
- Zero Day
![S3 Ep103: Svindlere i slammeren (og andre historier) [Lyd + tekst] PlatoBlockchain Data Intelligence. Lodret søgning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/s3-ep103-cover-1200-360x188.png "S3 Ep103: Scammers in the Slammer (og andre historier) [Lyd + tekst]")
