CISA drängt auf Patch des ausgenutzten Windows 11-Fehlers bis zum 2. August

Eine Windows 11-Schwachstelle, die Teil von Microsofts Patchday-Zusammenfassung von Fixes ist, wird in freier Wildbahn ausgenutzt, was die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) dazu veranlasst, das Patchen des Fehlers zur Erhöhung der Berechtigungen bis zum 2. August anzuraten.

Die Empfehlung richtet sich an Bundesbehörden und Konzerne CVE-2022-22047, eine Schwachstelle, die einen hohen CVSS-Score (7.8) aufweist und das Windows Client Server Runtime Subsystem (CSRSS) offenlegt, das in Windows 11 (und früheren Versionen zurück bis 7) und auch Windows Server 2022 (und früheren Versionen 2008, 2012, 2016) verwendet wird und 2019) anzugreifen.

[KOSTENLOSE On-Demand-Veranstaltung: Nehmen Sie an einem Threatpost-Roundtable mit Zane Bond von Keeper Security teil und erfahren Sie, wie Sie von überall aus sicher auf Ihre Computer zugreifen und vertrauliche Dokumente von Ihrem Home Office aus teilen können. SCHAU HIER.]

Der CSRSS-Bug ist eine Schwachstelle zur Erhöhung von Berechtigungen, die es Angreifern mit einem zuvor eingerichteten Standbein auf einem Zielsystem ermöglicht, Code als nicht privilegierter Benutzer auszuführen. Als der Fehler Anfang dieses Monats zum ersten Mal von Microsofts eigenem Sicherheitsteam gemeldet wurde, wurde er als Zero-Day oder als bekannter Fehler ohne Patch eingestuft. Dieser Patch wurde am zur Verfügung gestellt Dienstag Juli 5.

Forscher von FortiGuard Labs, einer Abteilung von Fortinet, sagten, die Bedrohung, die der Fehler für Unternehmen darstellt, sei „mittel“. In einem Bulletin erklären Forscher die herabgestufte Bewertung, weil ein Angreifer erweiterten „lokalen“ oder physischen Zugriff auf das Zielsystem benötigt, um den Fehler auszunutzen, und ein Patch verfügbar ist.

Allerdings könnte ein Angreifer, der sich zuvor (über eine Malware-Infektion) Fernzugriff auf ein Computersystem verschafft hat, die Schwachstelle aus der Ferne ausnutzen.

„Obwohl es keine weiteren von Microsoft veröffentlichten Informationen zur Ausnutzung gibt, kann vermutet werden, dass eine unbekannte Remote-Code-Ausführung es einem Angreifer ermöglichte, seitliche Bewegungen durchzuführen und Berechtigungen auf Computern zu eskalieren, die für CVE-2022-22047 anfällig sind, was letztendlich SYSTEM-Berechtigungen ermöglichte. “, schrieb FortiGuard Labs.

Einstiegspunkte für Office- und Adobe-Dokumente

Während die Schwachstelle aktiv ausgenutzt wird, gibt es laut a Bericht von The Record.

„Die Schwachstelle ermöglicht es einem Angreifer, Code als SYSTEM auszuführen, vorausgesetzt, er kann anderen Code auf dem Ziel ausführen“, schrieb Trend Micro Zero Day Initiative (ZDI) in ihrem Patch Tuesday Rundgang letzte Woche.

„Fehler dieser Art werden normalerweise mit einem Codeausführungsfehler gepaart, normalerweise einem speziell gestalteten Office- oder Adobe-Dokument, um ein System zu übernehmen. Diese Angriffe basieren oft auf Makros, weshalb so viele entmutigt waren, als Microsoft die Verzögerung bei der standardmäßigen Blockierung aller Office-Makros hörte“, schrieb ZDI-Autor Dustin Childs.

Microsoft hat kürzlich angekündigt, die Verwendung von Visual Basic for Applications (VBA)-Makros in einigen seiner Office-Apps standardmäßig zu blockieren, jedoch keine Zeitleiste festgelegt, um die Richtlinie durchzusetzen.

CISA fügte den Microsoft-Fehler seiner laufenden Liste hinzu bekannter ausgenutzter Sicherheitslücken am 7. Juli (suchen Sie nach „CVE-2022-22047“, um den Eintrag zu finden) und empfiehlt einfach „Updates gemäß Herstelleranweisungen anwenden“.

[KOSTENLOSE On-Demand-Veranstaltung: Nehmen Sie an einem Threatpost-Roundtable mit Zane Bond von Keeper Security teil und erfahren Sie, wie Sie von überall aus sicher auf Ihre Computer zugreifen und vertrauliche Dokumente von Ihrem Home Office aus teilen können. SCHAU HIER.]

Bild: Mit freundlicher Genehmigung von Microsoft