Η Microsoft διευθύνει Zero-Days, αλλά η αλυσίδα Exploit του Exchange Server παραμένει μη επιδιορθωμένη

Για την ενημερωμένη έκδοση του Οκτωβρίου, η Microsoft αντιμετώπισε μια κρίσιμη ευπάθεια ασφαλείας στην υπηρεσία cloud Azure, η οποία φέρει μια σπάνια βαθμολογία 10 στα 10 στην κλίμακα ευπάθειας-σοβαρότητας CVSS.

Ο τεχνολογικός γίγαντας επιδιορθώνει επίσης δύο «σημαντικά» σφάλματα zero-day, ένα από τα οποία αξιοποιείται ενεργά στη φύση. και επιπλέον, μπορεί να υπάρχει ένα τρίτο ζήτημα, στο SharePoint, το οποίο επίσης χρησιμοποιείται ενεργά.

Σημειωτέον, ωστόσο, η Microsoft δεν εξέδωσε διορθώσεις για τα δύο μη επιδιορθωμένα σφάλματα του Exchange Server zero-day που ήρθαν στο φως στα τέλη Σεπτεμβρίου.

Συνολικά για τον Οκτώβριο, η Microsoft κυκλοφόρησε ενημερώσεις κώδικα για 85 CVE, συμπεριλαμβανομένων 15 κρίσιμων σφαλμάτων. Τα επηρεαζόμενα προϊόντα εκτελούν τη γκάμα του χαρτοφυλακίου προϊόντων ως συνήθως: Microsoft Windows και Windows Components. Azure, Azure Arc και Azure DevOps. Microsoft Edge (βασισμένο σε Chromium). Εξαρτήματα γραφείου και γραφείου. Κωδικός Visual Studio; Υπηρεσίες τομέα Active Directory και Υπηρεσίες πιστοποιητικών Active Directory. Nu Get Client; Hyper-V; και το Windows Resilient File System (ReFS).

Αυτά είναι επιπλέον των 11 ενημερώσεων κώδικα για τον Microsoft Edge (με βάση το χρώμιο) και μια ενημερωμένη έκδοση κώδικα για εικασίες πλευρικών καναλιών σε επεξεργαστές ARM που κυκλοφόρησαν νωρίτερα μέσα στον μήνα.

A Perfect 10: Rare Ultra-Critical Vuln

Το σφάλμα 10 στα 10 (CVE-2022-37968) είναι ένα ζήτημα ανύψωσης προνομίων (EoP) και απομακρυσμένης εκτέλεσης κώδικα (RCE) που θα μπορούσε να επιτρέψει σε έναν εισβολέα χωρίς έλεγχο ταυτότητας να αποκτήσει διαχειριστικό έλεγχο στα συμπλέγματα Kubernetes με δυνατότητα Azure Arc. θα μπορούσε επίσης να επηρεάσει τις συσκευές Azure Stack Edge.

Ενώ οι κυβερνοεπιτιθέμενοι θα πρέπει να γνωρίζουν το τελικό σημείο DNS που δημιουργείται τυχαία για να είναι επιτυχές ένα σύμπλεγμα Kubernetes με δυνατότητα Azure Arc, η εκμετάλλευση έχει μεγάλη ανταμοιβή: Μπορούν να ανυψώσουν τα προνόμιά τους σε cluster admin και ενδεχομένως να αποκτήσουν έλεγχο στο σύμπλεγμα Kubernetes.

"Εάν χρησιμοποιείτε αυτούς τους τύπους κοντέινερ με έκδοση χαμηλότερη από 1.5.8, 1.6.19, 1.7.18 και 1.8.11 και είναι διαθέσιμα από το Διαδίκτυο, αναβαθμίστε αμέσως", δήλωσε ο Mike Walters, αντιπρόεδρος ευπάθειας και έρευνα απειλών στο Action1, προειδοποιήθηκε μέσω email.

Ένα ζεύγος (ίσως μια τριάδα) μπαλωμάτων Zero-Day – αλλά όχι ΑΥΤΕΣ

Το νέο zero-day επιβεβαιώθηκε ότι βρίσκεται υπό ενεργή εκμετάλλευση (CVE-2022-41033) είναι μια ευπάθεια EoP στην υπηρεσία συστήματος συμβάντων των Windows COM+. Φέρει βαθμολογία 7.8 CVSS.

Η υπηρεσία συστήματος συμβάντων των Windows COM+ εκκινείται από προεπιλογή με το λειτουργικό σύστημα και είναι υπεύθυνη για την παροχή ειδοποιήσεων σχετικά με τις συνδέσεις και τις αποσυνδέσεις. Όλες οι εκδόσεις των Windows που ξεκινούν με Windows 7 και Windows Server 2008 είναι ευάλωτες και μια απλή επίθεση μπορεί να οδηγήσει στην απόκτηση προνομίων SYSTEM, προειδοποίησαν οι ερευνητές.

«Δεδομένου ότι πρόκειται για σφάλμα κλιμάκωσης προνομίων, είναι πιθανό να συνδυαστεί με άλλα exploits εκτέλεσης κώδικα που έχουν σχεδιαστεί για να κατακτήσουν ένα σύστημα», σημείωσε ο Dustin Childs, από το Zero Day Initiative (ZDI), σε ένα ανάλυση σήμερα. «Αυτοί οι τύποι επιθέσεων συχνά περιλαμβάνουν κάποια μορφή κοινωνικής μηχανικής, όπως το να δελεάσουν έναν χρήστη να ανοίξει ένα συνημμένο ή να περιηγηθεί σε έναν κακόβουλο ιστότοπο. Παρά τη σχεδόν συνεχή εκπαίδευση κατά του phishing, ειδικά κατά τη διάρκειαΜήνας ευαισθητοποίησης για την κυβερνοασφάλεια», οι άνθρωποι τείνουν να κάνουν κλικ σε όλα, γι' αυτό δοκιμάστε και αναπτύξτε αυτήν τη διόρθωση γρήγορα.

Ο Satnam Narang, ανώτερος μηχανικός έρευνας προσωπικού στο Tenable, σημείωσε σε μια ανακεφαλαίωση μέσω email ότι ένας επιβεβαιωμένος εισβολέας θα μπορούσε να εκτελέσει μια ειδικά κατασκευασμένη εφαρμογή προκειμένου να εκμεταλλευτεί το σφάλμα και να αυξήσει τα προνόμια στο SYSTEM.

"Ενώ η ανύψωση των ευπαθειών προνομίων απαιτεί από έναν εισβολέα να αποκτήσει πρόσβαση σε ένα σύστημα μέσω άλλων μέσων, εξακολουθούν να είναι ένα πολύτιμο εργαλείο στην εργαλειοθήκη ενός εισβολέα και η ενημέρωση κώδικα Τρίτης αυτού του μήνα δεν έχει έλλειψη ελαττωμάτων ανύψωσης προνομίων, καθώς η Microsoft διορθώθηκε το 39 , αντιπροσωπεύουν σχεδόν τα μισά σφάλματα που διορθώθηκαν (46.4%)», είπε.

Αυτό το συγκεκριμένο πρόβλημα EoP θα πρέπει να πάει στην αρχή της γραμμής για επιδιόρθωση, σύμφωνα με τον Walters του Action1.

«Η εγκατάσταση της ενημέρωσης κώδικα που κυκλοφόρησε πρόσφατα είναι υποχρεωτική. Διαφορετικά, ένας εισβολέας που είναι συνδεδεμένος σε έναν επισκέπτη ή έναν απλό υπολογιστή χρήστη μπορεί γρήγορα να αποκτήσει προνόμια SYSTEM σε αυτό το σύστημα και να μπορεί να κάνει σχεδόν τα πάντα με αυτό», έγραψε σε μια ανάλυση που εστάλη μέσω email. "Αυτή η ευπάθεια είναι ιδιαίτερα σημαντική για οργανισμούς των οποίων η υποδομή βασίζεται στον Windows Server."

Το άλλο επιβεβαιωμένο δημοσίως γνωστό σφάλμα (CVE-2022-41043) είναι ένα ζήτημα αποκάλυψης πληροφοριών στο Microsoft Office για Mac που έχει χαμηλή βαθμολογία κινδύνου CVSS μόλις 4 στα 10.

Ο Waters επεσήμανε μια άλλη πιθανή εκμετάλλευση zero-day: ένα πρόβλημα απομακρυσμένης εκτέλεσης κώδικα (RCE) στον SharePoint Server (CVE-2022-41036, CVSS 8.8) που επηρεάζει όλες τις εκδόσεις που ξεκινούν με το SharePoint 2013 Service Pack 1.

"Σε μια επίθεση που βασίζεται σε δίκτυο, ένας επαληθευμένος αντίπαλος με δικαιώματα διαχείρισης λίστας θα μπορούσε να εκτελέσει κώδικα εξ αποστάσεως στον διακομιστή SharePoint και να κλιμακωθεί σε δικαιώματα διαχείρισης", είπε.

Το πιο σημαντικό, «η Microsoft αναφέρει ότι πιθανότατα έχει ήδη δημιουργηθεί ένα exploit και χρησιμοποιείται από ομάδες χάκερ, αλλά δεν υπάρχει ακόμη απόδειξη γι' αυτό», είπε. "Ωστόσο, αυτή η ευπάθεια αξίζει να ληφθεί σοβαρά υπόψη εάν έχετε έναν SharePoint Server ανοιχτό στο Διαδίκτυο."

Δεν υπάρχουν ενημερώσεις κώδικα ProxyNotShell

Πρέπει να σημειωθεί ότι αυτές δεν είναι οι δύο ενημερώσεις μηδενικής ημέρας που περίμεναν οι ερευνητές. αυτά τα σφάλματα, CVE-2022-41040 και CVE-2022-41082, επίσης γνωστό ως ProxyNotShell, παραμένουν αδιευκρίνιστες. Όταν συνδέονται μεταξύ τους, μπορούν να επιτρέψουν το RCE σε διακομιστές Exchange.

«Αυτό που μπορεί να είναι πιο ενδιαφέρον είναι τι δεν περιλαμβάνεται στην κυκλοφορία αυτού του μήνα. Δεν υπάρχουν ενημερώσεις για τον Exchange Server, παρά τα δύο σφάλματα του Exchange που χρησιμοποιούνται ενεργά για τουλάχιστον δύο εβδομάδες», έγραψε η Childs. «Αυτά τα σφάλματα αγοράστηκαν από το ZDI στις αρχές Σεπτεμβρίου και αναφέρθηκαν στη Microsoft εκείνη την εποχή. Χωρίς να υπάρχουν διαθέσιμες ενημερώσεις για την πλήρη αντιμετώπιση αυτών των σφαλμάτων, το καλύτερο που μπορούν να κάνουν οι διαχειριστές είναι να διασφαλίσουν ότι έχει εγκατασταθεί η αθροιστική ενημέρωση του Σεπτεμβρίου (CU).”

«Παρά τις μεγάλες ελπίδες ότι η σημερινή έκδοση του Patch Tuesday θα περιέχει διορθώσεις για τα τρωτά σημεία, ο Exchange Server λείπει εμφανώς από την αρχική λίστα των ενημερώσεων ασφαλείας του Οκτωβρίου 2022», λέει η Caitlin Condon, ανώτερη διευθύντρια για την έρευνα ευπάθειας στο Rapid7. "Ο συνιστώμενος κανόνας της Microsoft για τον αποκλεισμό γνωστών μοτίβων επίθεσης έχει παρακαμφθεί πολλές φορές, τονίζοντας την αναγκαιότητα μιας πραγματικής επιδιόρθωσης."

Από τις αρχές Σεπτεμβρίου, η Rapid7 Labs παρατήρησε έως και 191,000 δυνητικά ευάλωτες περιπτώσεις του Exchange Server που εκτέθηκαν στο Διαδίκτυο μέσω της θύρας 443, προσθέτει. Ωστόσο, σε αντίθεση με το ProxyShell
και ProxyLogon
αλυσίδες εκμετάλλευσης, αυτή η ομάδα σφαλμάτων απαιτεί από έναν εισβολέα να έχει πιστοποιημένη πρόσβαση στο δίκτυο για επιτυχή εκμετάλλευση.

«Μέχρι στιγμής, οι επιθέσεις παρέμειναν περιορισμένες και στοχευμένες», λέει, προσθέτοντας, «Αυτό είναι απίθανο να συνεχιστεί όσο περνά ο καιρός και οι φορείς απειλών έχουν περισσότερες ευκαιρίες να αποκτήσουν πρόσβαση και να βελτιώσουν τις αλυσίδες εκμετάλλευσης. Σχεδόν σίγουρα θα δούμε πρόσθετα τρωτά σημεία μετά τον έλεγχο ταυτότητας να κυκλοφορούν τους επόμενους μήνες, αλλά η πραγματική ανησυχία θα ήταν να εμφανιστεί ένα διάνυσμα επίθεσης χωρίς έλεγχο ταυτότητας καθώς οι ομάδες IT και ασφάλειας εφαρμόζουν το πάγωμα του κώδικα στο τέλος του έτους».

Διαχειριστές Σημείωση: Άλλα σφάλματα προς προτεραιότητα

Όσον αφορά άλλα ζητήματα που πρέπει να δοθεί προτεραιότητα, το ZDI's Childs επισήμανε δύο σφάλματα EoP του Windows Client Server Run-time Subsystem (CSRSS) που εντοπίστηκαν ως CVE-2022-37987
και CVE-2022-37989
(και τα δύο 7.8 CVSS).

"Το CVS-2022-37989 είναι μια αποτυχημένη ενημερωμένη έκδοση κώδικα για το CVE-2022-22047, ένα προηγούμενο σφάλμα που είδε κάποια εκ των πραγμάτων εκμετάλλευση", εξήγησε. «Αυτή η ευπάθεια προκύπτει από το γεγονός ότι το CSRSS είναι πολύ επιεικό στην αποδοχή εισροών από μη αξιόπιστες διαδικασίες. Αντίθετα, το CVE-2022-37987 είναι μια νέα επίθεση που λειτουργεί εξαπατώντας το CSRSS στη φόρτωση πληροφοριών εξάρτησης από μια μη ασφαλή τοποθεσία."

Επίσης αξιοσημείωτο: Εννέα CVE που κατηγοριοποιήθηκαν ως σφάλματα RCE με κρίσιμη σοβαρότητα επιδιορθώθηκαν επίσης σήμερα, και επτά από αυτά επηρεάζουν το Πρωτόκολλο Point-to-Point Tunneling Protocol, σύμφωνα με τον Greg Wiseman, υπεύθυνο προϊόντων στο Rapid7. «[Αυτά] απαιτούν από έναν εισβολέα να κερδίσει μια συνθήκη αγώνα για να τα εκμεταλλευτεί», σημείωσε μέσω email.

Ο ερευνητής της Automox Jay Goodman προσθέτει ότι CVE-2022-38048 (CVSS 7.8) επηρεάζει όλες τις υποστηριζόμενες εκδόσεις του Office και θα μπορούσαν να επιτρέψουν σε έναν εισβολέα να πάρει τον έλεγχο ενός συστήματος «όπου θα ήταν ελεύθερος να εγκαταστήσει προγράμματα, να προβάλει ή να αλλάξει δεδομένα ή να δημιουργήσει νέους λογαριασμούς στο σύστημα προορισμού με πλήρη δικαιώματα χρήστη .» Αν και είναι λιγότερο πιθανό να γίνει εκμετάλλευση της ευπάθειας, σύμφωνα με τη Microsoft, η πολυπλοκότητα της επίθεσης αναφέρεται ως χαμηλή.

Και τέλος, η Gina Geisel, επίσης ερευνήτρια της Automox, προειδοποιεί ότι CVE-2022-38028
(CVSS 7.8), ένα σφάλμα Windows Print Spooler EoP, ως ευπάθεια χαμηλού προνομίου και χαμηλής πολυπλοκότητας που δεν απαιτεί αλληλεπίδραση με τον χρήστη.

«Ένας εισβολέας θα πρέπει να συνδεθεί σε ένα σύστημα που επηρεάζεται και να τρέξει ένα ειδικά κατασκευασμένο σενάριο ή εφαρμογή για να αποκτήσει προνόμια συστήματος», σημειώνει. «Παραδείγματα αυτών των προνομίων εισβολέα περιλαμβάνουν την εγκατάσταση προγραμμάτων. τροποποίηση, αλλαγή και διαγραφή δεδομένων· δημιουργία νέων λογαριασμών με πλήρη δικαιώματα χρήστη· και κινείται πλευρικά γύρω από τα δίκτυα».