Oma oktoobrikuise paiga teisipäeva värskenduse puhul käsitles Microsoft oma Azure'i pilveteenuse kriitilist turvaauku, andes CVSS-i haavatavuse ja tõsiduse skaalal haruldase hinnangu 10-10.
Tehnikahiiglane lappis ka kaks "tähtsa" reitinguga nullpäeva viga, millest ühte kasutatakse looduses aktiivselt; ja lisaks võib SharePointis olla kolmas probleem, mida samuti aktiivselt kasutatakse.
Siiski ei andnud Microsoft nende kahe jaoks parandusi välja parandamata Exchange Serveri nullpäeva vead mis selgus septembri lõpus.
Kokku andis Microsoft oktoobris välja paigad 85 CVE-le, sealhulgas 15 kriitilisele veale. Mõjutatud tooted kasutavad tooteportfelli tavapäraselt: Microsoft Windows ja Windows Components; Azure, Azure Arc ja Azure DevOps; Microsoft Edge (Chromiumil põhinev); Kontor ja kontorikomponendid; Visual Studio kood; Active Directory domeeniteenused ja Active Directory sertifikaaditeenused; Nu Get Client; Hüper-V; ja Windowsi vastupidav failisüsteem (ReFS).
Need on lisaks 11 plaastrile Microsoft Edge'ile (Chromiumil põhinev) ja paigale külgkanalite spekulatsioonide jaoks ARM-protsessorites, mis avaldati kuu alguses.
Täiuslik 10: haruldane ülikriitiline haud
10-10-st viga (CVE-2022-37968) on privileegide tõstmise (EoP) ja koodi kaugkäitamise (RCE) probleem, mis võib lubada autentimata ründajal saada administratiivse kontrolli Azure Arci toega Kubernetese klastrite üle; see võib mõjutada ka Azure Stack Edge'i seadmeid.
Kuigi küberründajad peavad Azure Arci toega Kubernetese klastri edukaks toimimiseks teadma juhuslikult genereeritud DNS-i lõpp-punkti, on ekspluateerimisel suur kasu: nad saavad tõsta oma õigusi klastri administraatoriks ja potentsiaalselt saada kontrolli Kubernetese klastri üle.
"Kui kasutate seda tüüpi konteinereid versioonidega, mis on madalamad kui 1.5.8, 1.6.19, 1.7.18 ja 1.8.11 ja need on Internetist saadaval, viige kohe üle uuemale versioonile," ütles haavatavuse ja haavatavuse asepresident Mike Walters. Action1 ohuuuringud, hoiatati meili teel.
Paar (võib-olla kolmik) nullpäeva plaastreid – aga mitte NEID plaastreid
Kinnitati, et uus nullpäev on aktiivses kasutuses (CVE-2022-41033) on EoP haavatavus Windows COM+ Event System Service'is. Selle CVSS-skoor on 7.8.
Windows COM+ Event System Service käivitatakse vaikimisi koos operatsioonisüsteemiga ning see vastutab sisse- ja väljalogimisteadete edastamise eest. Kõik Windowsi versioonid alates Windows 7-st ja Windows Server 2008-st on haavatavad ning lihtne rünnak võib viia SÜSTEEMI õiguste omandamiseni, hoiatasid teadlased.
"Kuna see on privileegide eskalatsiooni viga, on see tõenäoliselt seotud muude koodikäivitamisega, mis on loodud süsteemi ülevõtmiseks," märkis Dustin Childs Zero Day Initiative'ist (ZDI). tänane analüüs. "Seda tüüpi rünnakud hõlmavad sageli sotsiaalset manipuleerimist, näiteks kasutaja meelitamist avama manust või sirvima pahatahtlikku veebisaiti. Vaatamata peaaegu pidevale andmepüügivastasele koolitusele, eriti ajalKüberturvalisuse teadlikkuse kuu”, inimesed kipuvad kõigel klõpsama, seega testige ja juurutage see parandus kiiresti.
Tenable'i vanemtöötajate uurimisinsener Satnam Narang märkis meili teel saadetud kokkuvõttes, et autentitud ründaja võib vea ärakasutamiseks ja SÜSTEEMI õiguste tõstmiseks käivitada spetsiaalselt loodud rakenduse.
"Kuigi privileegide tõstmine nõuab, et ründaja pääseks süsteemile juurde muul viisil, on need endiselt väärtuslik tööriist ründaja tööriistakastis ja selle kuu paiga teisipäeval ei ole puudust privileegide tõstmise vigadest, kuna Microsoft parandas 39. , mis moodustab peaaegu poole parandatud vigadest (46.4%), ”ütles ta.
Action1 Waltersi sõnul peaks see konkreetne EoP probleem minema lappimise liini peamisse.
"Äsja välja antud plaastri installimine on kohustuslik; vastasel juhul võib ründaja, kes on sisse logitud külalis- või tavakasutaja arvutisse, kiiresti omandada selles süsteemis SÜSTEEMI privileegid ja saab sellega teha peaaegu kõike," kirjutas ta e-kirjaga saadetud analüüsis. "See haavatavus on eriti oluline organisatsioonide jaoks, mille infrastruktuur tugineb Windows Serverile."
Teine kinnitatud avalikult tuntud viga (CVE-2022-41043) on Microsoft Office for Maci teabe avalikustamise probleem, mille CVSS-i riskireiting on madal, vaid 4 punkti 10-st.
Waters osutas teisele potentsiaalselt ära kasutatud nullpäevale: koodi kaugkäitamise (RCE) probleemile SharePoint Serveris (CVE-2022-41036, CVSS 8.8), mis mõjutab kõiki versioone alates SharePoint 2013 hoolduspaketist Service Pack 1.
"Võrgupõhise rünnaku korral võib autenditud vastane, kellel on loendi haldamise õigused, SharePoint Serveris koodi kaugjuhtimisega käivitada ja administraatorilubadeni jõuda," ütles ta.
Kõige tähtsam on see, et "Microsoft teatab, et ärakasutamine on tõenäoliselt juba loodud ja häkkerirühmad seda kasutavad, kuid selle kohta pole veel tõendeid," ütles ta. "Kuid teil on Internetile avatud SharePoint Server, tasub seda haavatavust siiski tõsiselt võtta."
ProxyNotShelli plaastreid pole
Tuleb märkida, et need ei ole kaks nullpäeva plaastrit, mida teadlased ootasid; need vead, CVE-2022-41040 ja CVE-2022-41082, tuntud ka kui ProxyNotShell, jäävad adresseerimata. Aheldatuna saavad nad lubada Exchange'i serverites RCE-d.
"Huvitavam võib olla see, mida selle kuu väljaanne ei sisalda. Exchange Serveri jaoks pole värskendusi, hoolimata sellest, et kahte Exchange'i viga on aktiivselt ära kasutatud vähemalt kaks nädalat, ”kirjutas Childs. "ZDI ostis need vead septembri alguses ja teatas toona Microsoftile. Kuna nende vigade täielikuks kõrvaldamiseks pole värskendusi saadaval, on parim, mida administraatorid teha saavad, tagada septembri ... kumulatiivse värskenduse (CU) installimine.
"Vaatamata suurtele lootustele, et tänane paiga teisipäeva versioon sisaldab haavatavuste parandusi, puudub Exchange Server 2022. aasta oktoobri turvavärskenduste esialgses loendis," ütleb Rapid7 haavatavuste uurimise vanemjuht Caitlin Condon. "Microsofti soovitatud reeglist teadaolevate rünnakumustrite blokeerimiseks on mitu korda mööda viidud, rõhutades tõelise paranduse vajalikkust."
Ta lisab, et septembri alguse seisuga täheldas Rapid7 Labs kuni 191,000 443 potentsiaalselt haavatavat Exchange Serveri juhtumit, mis olid pordi XNUMX kaudu Internetiga kokku puutunud. Kuid erinevalt ProxyShell
ja ProxyLogon
ärakasutamise ahelad, nõuab see vigade rühm edukaks ärakasutamiseks ründajalt autentitud võrgujuurdepääsu.
"Siiani on rünnakud olnud piiratud ja sihitud," ütleb ta ja lisab: "See on ebatõenäoline, et see jätkub, kuna aeg edasi ja ohus osalejatel on rohkem võimalusi juurdepääsu saamiseks ja ärakasutamise ahelate lihvimiseks. Peaaegu kindlasti näeme lähikuudel täiendavaid autentimisjärgseid turvaauke, kuid tegelik probleem oleks autentimata ründevektor, mis avaneks, kui IT- ja turvameeskonnad rakendavad aastalõpu koodi külmumist.
Administraatorid pange tähele: muud vead, mida eelistada
Mis puutub muudesse prioriteetsetesse probleemidesse, siis ZDI's Childs märkis kaks Windows Client Server Run-time Subsystem (CSRSS) EoP viga, mida jälgiti kui CVE-2022-37987
ja CVE-2022-37989
(mõlemad 7.8 CVSS).
"CVS-2022-37989 on ebaõnnestunud plaaster CVE-2022-22047 jaoks, mis on varasem viga, mida kasutati looduses," selgitas ta. "See haavatavus tuleneb sellest, et CSRSS on ebausaldusväärsete protsesside sisendi vastuvõtmisel liiga leebe. Seevastu CVE-2022-37987 on uus rünnak, mis petab CSRSS-i ja laadib sõltuvusteavet turvamata asukohast.
Samuti on tähelepanuväärne: Rapid7 tootejuhi Greg Wisemani sõnul parandati täna ka üheksa kriitilise raskusastmega RCE-veaks liigitatud CVE-d ja seitse neist mõjutavad Point-to-Point tunneliprotokolli. "[Need] nõuavad, et ründaja võidaks nende ärakasutamiseks võistlustingimused," märkis ta e-posti teel.
Automoxi uurija Jay Goodman lisab selle CVE-2022-38048 (CVSS 7.8) mõjutab kõiki Office'i toetatud versioone ja need võivad lubada ründajal võtta kontrolli süsteemi üle, "kus tal on vabadus installida programme, vaadata või muuta andmeid või luua sihtsüsteemis uusi kontosid täielike kasutajaõigustega .” Kuigi haavatavuse ärakasutamine on väiksem, on Microsofti sõnul ründe keerukus loetletud madalana.
Ja lõpuks hoiatab Gina Geisel, samuti Automoxi teadlane CVE-2022-38028
(CVSS 7.8), Windowsi prindispuuleri EoP viga, mis on madalate privileegidega ja vähese keerukusega haavatavus, mis ei nõua kasutaja sekkumist.
"Süsteemiõiguste saamiseks peaks ründaja mõjutatud süsteemi sisse logima ja käivitama spetsiaalselt loodud skripti või rakenduse," märgib ta. "Nende ründaja õiguste näidete hulka kuuluvad programmide installimine; andmete muutmine, muutmine ja kustutamine; uute täielike kasutajaõigustega kontode loomine; ja liikudes külgsuunas mööda võrke.
