Το Microsoft Squashes Zero-Day, Actively Exploited Bugs σε ενημέρωση Δεκεμβρίου

Η Microsoft κυκλοφόρησε επιδιορθώσεις για 48 νέες ευπάθειες στα προϊόντα της, συμπεριλαμβανομένου ενός που εκμεταλλεύονται ενεργά οι εισβολείς και ενός άλλου που έχει δημοσιοποιηθεί, αλλά δεν είναι υπό ενεργή εκμετάλλευση τώρα.

Έξι από τα τρωτά σημεία που επιδιορθώθηκε η εταιρεία στην τελευταία μηνιαία ενημέρωση ασφαλείας για το έτος αναφέρονται ως κρίσιμα. Εκχώρησε μια σημαντική βαθμολογία σοβαρότητας σε 43 τρωτά σημεία και έδωσε σε τρία ελαττώματα μια αξιολόγηση μέτριας σοβαρότητας. 

Η ενημέρωση της Microsoft περιλαμβάνει ενημερώσεις κώδικα για CVE εκτός ζώνης που αντιμετώπισε τον περασμένο μήνα, καθώς και 23 ευπάθειες στην τεχνολογία του προγράμματος περιήγησης Chromium της Google, στην οποία βασίζεται το πρόγραμμα περιήγησης Edge της Microsoft.

Ενεργά εκμεταλλευόμενο σφάλμα ασφαλείας

Το ελάττωμα που εκμεταλλεύονται ενεργά οι επιτιθέμενοι (CVE-2022-44698) δεν είναι από τα πιο κρίσιμα για τα σφάλματα για τα οποία η Microsoft κυκλοφόρησε ενημερώσεις κώδικα σήμερα. Το ελάττωμα δίνει στους εισβολείς έναν τρόπο να παρακάμψουν τη δυνατότητα ασφαλείας των Windows SmartScreen για την προστασία των χρηστών από κακόβουλα αρχεία που έχουν ληφθεί από το Διαδίκτυο. 

«Ένας εισβολέας μπορεί να δημιουργήσει ένα κακόβουλο αρχείο που θα αποφύγει τις άμυνες του Mark of the Web (MOTW), με αποτέλεσμα περιορισμένη απώλεια ακεραιότητας και διαθεσιμότητας λειτουργιών ασφαλείας, όπως το Protected View στο Microsoft Office, που βασίζονται σε ετικέτες MOTW», δήλωσε η Microsoft.

Το CVE-2022-44698 παρουσιάζει μόνο έναν σχετικά μικρό κίνδυνο για τους οργανισμούς, λέει ο Kevin Breen, διευθυντής έρευνας για τις απειλές στον κυβερνοχώρο στο Immersive Labs. "Πρέπει να χρησιμοποιηθεί σε συνεργασία με ένα εκτελέσιμο αρχείο ή άλλο κακόβουλο κώδικα όπως ένα έγγραφο ή αρχείο σεναρίου", λέει ο Breen. "Σε αυτές τις περιπτώσεις, αυτό το CVE παρακάμπτει μέρος της ενσωματωμένης σάρωσης και ανίχνευσης φήμης της Microsoft - συγκεκριμένα το SmartScreen, το οποίο κανονικά θα εμφανιζόταν για να πει σε έναν χρήστη ότι το αρχείο μπορεί να μην είναι ασφαλές." 

Ταυτόχρονα, οι χρήστες δεν πρέπει να υποτιμούν την απειλή και θα πρέπει να επιδιορθώσουν το ζήτημα γρήγορα, συνιστά η Breen.

Η Microsoft περιέγραψε ένα άλλο ελάττωμα - ένα ζήτημα αύξησης των προνομίων στον πυρήνα γραφικών DirectX - ως δημοσίως γνωστό zero-day αλλά όχι υπό ενεργή εκμετάλλευση. Η εταιρεία αξιολόγησε την ευπάθεια (CVE-2022-44710) ως "Σημαντικό" σε σοβαρότητα και που θα επέτρεπε σε έναν εισβολέα να αποκτήσει προνόμια σε επίπεδο συστήματος εάν γίνει εκμετάλλευση. Ωστόσο, η εταιρεία περιέγραψε το ελάττωμα ως ένα ελάττωμα που οι επιτιθέμενοι είναι λιγότερο πιθανό να εκμεταλλευτούν.

Ευπάθειες για την ενημέρωση κώδικα τώρα

Το ZDI της Trend Micro επισήμανε τρία άλλα τρωτά σημεία στην ενημέρωση ασφαλείας του Δεκεμβρίου Patch Tuesday ως σημαντικά: CVE-2022-44713, CVE-2022-41076, να CVE-2022-44699.

CVE-2022-44713 είναι μια ευπάθεια πλαστογράφησης στο Microsoft Outlook για Mac. Η ευπάθεια επιτρέπει σε έναν εισβολέα να εμφανίζεται ως αξιόπιστος χρήστης και να κάνει το θύμα να κάνει λάθος ένα μήνυμα ηλεκτρονικού ταχυδρομείου σαν να προέρχεται από νόμιμο χρήστη. 

"Δεν επισημαίνουμε συχνά σφάλματα πλαστογράφησης, αλλά κάθε φορά που αντιμετωπίζετε ένα σφάλμα πλαστογράφησης σε ένα πρόγραμμα-πελάτη ηλεκτρονικού ταχυδρομείου, θα πρέπει να το προσέξετε", δήλωσε ο Ντάστιν Τσάιλντς, επικεφαλής του τμήματος ευαισθητοποίησης απειλών της ZDI. είπε σε μια θέση blog. Η ευπάθεια θα μπορούσε να αποδειχθεί ιδιαίτερα ενοχλητική όταν συνδυαστεί με το προαναφερθέν ελάττωμα παράκαμψης SmartScreen MoTW που εκμεταλλεύονται ενεργά οι εισβολείς, είπε.

Το CVE-2022-41076 είναι μια ευπάθεια εκτέλεσης απομακρυσμένου κώδικα (RCE) του PowerShell που επιτρέπει σε έναν επαληθευμένο εισβολέα να ξεφύγει από τη διαμόρφωση PowerShell Remoting Session Configuration και να εκτελέσει αυθαίρετες εντολές σε ένα επηρεαζόμενο σύστημα, είπε η Microsoft. 

Η εταιρεία αξιολόγησε την ευπάθεια ως κάτι που οι επιτιθέμενοι είναι πιο πιθανό να παραβιάσουν, παρόλο που η ίδια η πολυπλοκότητα της επίθεσης είναι υψηλή. Σύμφωνα με τον Childs, οι οργανισμοί θα πρέπει να δώσουν προσοχή στην ευπάθεια επειδή είναι το είδος του ελαττώματος που εκμεταλλεύονται συχνά οι επιτιθέμενοι όταν θέλουν να «ζήσουν από τη γη» αφού αποκτήσουν αρχική πρόσβαση σε ένα δίκτυο. 

«Σίγουρα μην αγνοήσετε αυτό το έμπλαστρο», έγραψε ο Τσάιλντς.

Και τέλος, το CVE-2022-44699 είναι μια άλλη ευπάθεια παράκαμψης ασφαλείας — αυτή τη φορά στο Azure Network Watcher Agent - Αυτό, εάν γίνει εκμετάλλευση, θα μπορούσε να επηρεάσει την ικανότητα ενός οργανισμού να καταγράφει αρχεία καταγραφής που απαιτούνται για την απόκριση σε περιστατικά. 

«Μπορεί να μην υπάρχουν πολλές επιχειρήσεις που βασίζονται σε αυτό το εργαλείο, αλλά για όσες χρησιμοποιούν αυτήν την επέκταση VM [Azure Network Watcher], αυτή η επιδιόρθωση θα πρέπει να αντιμετωπίζεται ως κρίσιμη και να αναπτύσσεται γρήγορα», είπε ο Childs.

Ερευνητές με τη Cisco Talos εντόπισε άλλα τρία τρωτά σημεία ως κρίσιμα και ζητήματα που οι οργανισμοί πρέπει να αντιμετωπίσουν άμεσα. Ένα από αυτά είναι το CVE-2022-41127, μια ευπάθεια RCE που επηρεάζει το Microsoft Dynamics NAV και τις εσωτερικές εκδόσεις του Microsoft Dynamics 365 Business Central. Μια επιτυχημένη εκμετάλλευση θα μπορούσε να επιτρέψει σε έναν εισβολέα να εκτελέσει αυθαίρετο κώδικα σε διακομιστές που εκτελούν την εφαρμογή Dynamics NAV ERP της Microsoft, ανέφεραν οι ερευνητές της Talos σε μια ανάρτηση ιστολογίου. 

Τα άλλα δύο τρωτά σημεία που ο προμηθευτής θεωρεί ότι έχουν μεγάλη σημασία είναι CVE-2022-44670 και CVE-2022-44676, και τα δύο είναι ελαττώματα RCE στο πρωτόκολλο Windows Secure Socket Tunneling Protocol (SSTP). 

"Η επιτυχής εκμετάλλευση αυτών των τρωτών σημείων απαιτεί από έναν εισβολέα να κερδίσει μια συνθήκη αγώνα, αλλά θα μπορούσε να επιτρέψει σε έναν εισβολέα να εκτελέσει εξ αποστάσεως κώδικα σε διακομιστές RAS", σύμφωνα με τη συμβουλή της Microsoft.

Μεταξύ των τρωτών σημείων που η SANS Internet Storm Center προσδιορίζονται ως σημαντικά είναι (CVE-2022-41089), ένα RCE στο .NET Framework και (CVE-2022-44690) στον Microsoft SharePoint Server.

Σε ανάρτηση, ο Mike Walters, αντιπρόεδρος έρευνας ευπάθειας και απειλών στην Action1 Corp., επεσήμανε επίσης την ευπάθεια των προνομίων στο Windows Print Spooler (CVE-2022-44678), όπως και άλλο θέμα να δω. 

"Το CVE-2022-44678 που επιλύθηκε πρόσφατα είναι πολύ πιθανό να γίνει εκμετάλλευση, κάτι που πιθανότατα ισχύει επειδή η Microsoft διόρθωσε μια άλλη ευπάθεια zero-day που σχετίζεται με το Print Spooler τον περασμένο μήνα", δήλωσε ο Walters. «Ο κίνδυνος από το CVE-2022-44678 είναι ο ίδιος: ένας εισβολέας μπορεί να αποκτήσει προνόμια SYSTEM μετά από επιτυχή εκμετάλλευση - αλλά μόνο τοπικά».

Ένας συγκεχυμένος αριθμός σφαλμάτων

Είναι ενδιαφέρον ότι αρκετοί προμηθευτές είχαν διαφορετικές αντιλήψεις για τον αριθμό των τρωτών σημείων που επιδιορθώθηκε η Microsoft αυτόν τον μήνα. Η ZDI, για παράδειγμα, εκτίμησε ότι η Microsoft διορθώθηκε 52 ευπάθειες. Ο Talos προσάρτησε τον αριθμό στο 48, το SANS στο 74 και το Action1 είχε αρχικά επιδιορθώσει το 74 από τη Microsoft, πριν το αναθεωρήσει σε 52.

Ο Johannes Ullrich, πρύτανης έρευνας για το Τεχνολογικό Ινστιτούτο SANS, λέει ότι το ζήτημα έχει να κάνει με τους διαφορετικούς τρόπους με τους οποίους μπορεί κανείς να μετρήσει τα τρωτά σημεία. Ορισμένοι, για παράδειγμα, περιλαμβάνουν ευπάθειες Chromium στον αριθμό τους, ενώ άλλοι όχι. 

Άλλα, όπως το SANS, περιλαμβάνουν επίσης συμβουλές ασφαλείας που μερικές φορές συνοδεύουν τις ενημερώσεις της Microsoft ως ευπάθειες. Η Microsoft μερικές φορές κυκλοφορεί επίσης ενημερωμένες εκδόσεις κώδικα κατά τη διάρκεια του μήνα, τις οποίες περιλαμβάνει επίσης στην ακόλουθη ενημέρωση του Patch Tuesday, και ορισμένοι ερευνητές δεν τις υπολογίζουν. 

"Ο αριθμός των ενημερώσεων κώδικα μπορεί μερικές φορές να προκαλεί σύγχυση, καθώς ο κύκλος Patch Tuesday είναι τεχνικά από τον Νοέμβριο έως τον Δεκέμβριο, επομένως θα περιλαμβάνει επίσης ενημερώσεις κώδικα που κυκλοφόρησαν εκτός ζώνης νωρίτερα μέσα στον μήνα και μπορεί επίσης να περιλαμβάνει ενημερώσεις από τρίτους προμηθευτές", λέει ο Breen. . "Το πιο αξιοσημείωτο από αυτά είναι οι ενημερώσεις κώδικα από την Google από το Chromium, το οποίο είναι η βάση για το πρόγραμμα περιήγησης Edge της Microsoft."
Ο Breen λέει ότι από την καταμέτρησή του υπάρχουν 74 ευπάθειες που επιδιορθώθηκαν από την τελευταία Patch Tuesday του Νοεμβρίου. Αυτό περιλαμβάνει 51 από τη Microsoft και 23 από την Google για το πρόγραμμα περιήγησης Edge. 

«Αν εξαιρέσουμε τόσο τις εκτός ζώνης όσο και τις [μπαλώματα] του Google Chromium, 49 ενημερώσεις κώδικα για ευπάθειες κυκλοφόρησαν σήμερα», λέει.

Ένας εκπρόσωπος της Microsoft λέει ότι ο αριθμός των νέων CVE για τα οποία η εταιρεία εξέδωσε ενημερώσεις κώδικα σήμερα ήταν 48.