Microsoft on oma toodetes välja andnud parandused 48 uuele haavatavusele, sealhulgas ühele, mida ründajad aktiivselt ära kasutavad, ja teisele, mis on avalikult avaldatud, kuid mida praegu aktiivselt ei kasutata.
Kuus turvaauku, mille ettevõte oma selle aasta viimases igakuises turbevärskenduses parandas, on loetletud kriitilistena. See määras 43 haavatavusele olulise raskusastme ja andis kolmele veale mõõduka raskusastme hinnangu.
Microsofti värskendus sisaldab plaastreid ribavälistele CVE-dele, mida see viimase kuu jooksul käsitles, ning 23 turvaauku Google'i Chromiumi brauseritehnoloogias, millel põhineb Microsofti brauser Edge.
Aktiivselt ärakasutatud turvaviga
Viga, mida ründajad aktiivselt ära kasutavad (CVE-2022-44698) ei kuulu kriitilisemate vigade hulka, mille jaoks Microsoft täna paigad välja andis. Viga annab ründajatele võimaluse Windows SmartScreeni turvafunktsioonist mööda minna, et kaitsta kasutajaid Internetist alla laaditud pahatahtlike failide eest.
"Ründaja võib luua pahatahtliku faili, mis väldib Mark of the Web (MOTW) kaitset, mille tulemuseks on MOTW-märgistamisel põhinevate turvafunktsioonide (nt Microsoft Office'i kaitstud vaade) terviklikkuse ja kättesaadavuse piiratud kaotus," ütles Microsoft.
CVE-2022-44698 kujutab endast organisatsioonidele vaid suhteliselt väikest riski, ütleb Immersive Labsi küberohtude uurimise direktor Kevin Breen. "Seda tuleb kasutada koostöös käivitatava faili või muu pahatahtliku koodiga, näiteks dokumendi või skriptifailiga, " ütleb Breen. "Nendes olukordades möödub see CVE mõnest Microsofti sisseehitatud mainekontrollist ja -tuvastusest, nimelt SmartScreenist, mis tavaliselt ilmub, et anda kasutajale teada, et fail ei pruugi olla ohutu."
Samal ajal ei tohiks kasutajad ohtu alahinnata ja peaksid probleemi kiiresti parandama, soovitab Breen.
Microsoft kirjeldas veel üht viga – DirectX Graphicsi kerneli privileegide suurendamise probleemi – kui avalikult teadaolevat nullpäeva, kuid mitte aktiivse ärakasutamise all. Ettevõte hindas haavatavust (CVE-2022-44710) kui raskusastmelt "oluline" ja selline, mis võimaldab ründajal ärakasutamise korral saada süsteemitasemel õigusi. Ettevõte kirjeldas aga viga kui sellist, mida ründajad väiksema tõenäosusega ära kasutavad.
Turvaaugud, mida kohe parandada
Trend Micro ZDI märkis detsembrikuu teisipäevases turvavärskenduses veel kolm haavatavust oluliseks: CVE-2022-44713, CVE-2022-41076ja CVE-2022-44699.
CVE-2022-44713 on Microsoft Outlook for Maci võltsimishaavatavus. Haavatavus võimaldab ründajal ilmuda usaldusväärse kasutajana ja panna ohver arvama, et meilisõnum on päritud seaduslikult kasutajalt.
"Me ei tõsta sageli võltsimisvigu esile, kuid alati, kui teil on meilikliendis võltsimisviga, peaksite seda tähele panema," ütles ZDI ohuteadlikkuse juht Dustin Childs. ütles blogipostituses. Ta ütles, et haavatavus võib osutuda eriti tülikaks, kui seda kombineerida eespool nimetatud SmartScreeni MoTW möödaviiguveaga, mida ründajad aktiivselt ära kasutavad.
Microsoft teatas, et CVE-2022-41076 on PowerShelli koodi kaugkäivitamise (RCE) haavatavus, mis võimaldab autentitud ründajal pääseda PowerShelli kaugseansi konfiguratsioonist ja käivitada mõjutatud süsteemis suvalisi käske.
Ettevõte hindas haavatavust millekski, mida ründajad tõenäoliselt ohustavad, kuigi rünnaku keerukus ise on kõrge. Childsi sõnul peaksid organisatsioonid haavatavusele tähelepanu pöörama, kuna seda tüüpi vead ründajad sageli ära kasutavad, kui soovivad pärast võrgule esmase juurdepääsu saamist "maast ära elada".
"Ärge kindlasti ignoreerige seda plaastrit," kirjutas Childs.
Ja lõpuks, CVE-2022-44699 on veel üks turvalisuse möödaviigu haavatavus – seekord Azure Network Watcher Agentis - mille ärakasutamine võib mõjutada organisatsiooni võimet koguda intsidentidele reageerimiseks vajalikke logisid.
"Seal tööriistal ei pruugi olla palju ettevõtteid, kuid nende jaoks, kes kasutavad seda [Azure Network Watcheri] VM-i laiendust, tuleks seda parandust käsitleda kriitilise tähtsusega ja see tuleb kiiresti kasutusele võtta," ütles Childs.
Cisco Talose teadlased tuvastas veel kolm haavatavust kui kriitilised ja probleemid, millega organisatsioonid peavad viivitamatult tegelema. Üks neist on CVE-2022-41127, RCE haavatavus, mis mõjutab Microsoft Dynamics NAV-i ja Microsoft Dynamics 365 Business Centrali kohapealseid versioone. Edukas ärakasutamine võib võimaldada ründajal käivitada suvalist koodi serverites, mis töötavad Microsofti Dynamics NAV ERP-rakendusega, ütlesid Talose teadlased ajaveebipostituses.
Ülejäänud kaks haavatavust, mida müüja peab väga oluliseks, on CVE-2022-44670 ja CVE-2022-44676, mis mõlemad on Windowsi turvalise pistikupesa tunneliprotokolli (SSTP) RCE vead.
"Nende haavatavuste edukaks ärakasutamiseks on vaja, et ründaja võidab võistlusseisundi, kuid see võib võimaldada ründajal RAS-i serverites koodi kaugkäivitada," seisab Microsofti nõuandes.
Nende haavatavuste hulgas on SANSi Interneti-tormikeskus oluliseks peetakse (CVE-2022-41089), RCE .NET Frameworkis ja (CVE-2022-44690) Microsoft SharePoint Serveris.
Aastal blogi postitus, viitas ka Action1 Corp. haavatavuse ja ohuuuringute asepresident Mike Walters Windowsi prindispuuleri privileegide haavatavusele (CVE-2022-44678), nagu teine teema vaatama.
"Tõenäoliselt kasutatakse ära äsja lahendatud CVE-2022-44678, mis on tõenäoliselt tõsi, sest Microsoft parandas eelmisel kuul veel ühe prindispooleriga seotud nullpäeva haavatavuse," ütles Walters. "CVE-2022-44678 risk on sama: ründaja võib pärast edukat ärakasutamist saada SÜSTEEMI õigused - aga ainult kohapeal."
Segadust tekitav vigade arv
Huvitav on see, et mitmel müüjal oli Microsofti sel kuul parandatud turvaaukude arv erinev. Näiteks ZDI hindas, et Microsoft parandas 52 turvaauku; Talos fikseeris selle arvu 48-ga, SANS-i 74-ga ja Action1 parandas algul 74, enne kui muutis selle 52-le.
SANS-i tehnoloogiainstituudi teadusuuringute dekaan Johannes Ullrich ütleb, et probleem on seotud haavatavuste loendamise erinevate viisidega. Mõned näiteks sisaldavad Chromiumi haavatavusi, teised aga mitte.
Teised, nagu SANS, sisaldavad ka turvanõuandeid, mis mõnikord kaasnevad Microsofti värskendustega kui haavatavused. Microsoft annab mõnikord kuu jooksul välja ka plaastreid, mis sisalduvad ka järgmises paiga teisipäeva värskenduses ja mõned teadlased ei arvesta neid.
"Paigutuste arv võib mõnikord olla segadusttekitav, kuna plaastrite teisipäeva tsükkel on tehniliselt novembrist detsembrini, nii et see hõlmab ka plaastreid, mis anti välja selle kuu alguses, ja võib sisaldada ka värskendusi kolmandatelt osapooltelt," ütleb Breen. . "Kõige tähelepanuväärsemad neist on Google'i paigad Chromiumilt, mis on Microsofti Edge'i brauseri alus."
Breen ütleb, et alates novembri viimasest paiga teisipäevast on tema arvu järgi paigatud 74 turvaauku. See hõlmab 51 Microsofti ja 23 Google'i Edge'i brauseri jaoks.
"Kui jätame välja nii ribavälised kui ka Google Chromiumi [paigad], avaldati täna 49 turvaaukude paika, " ütleb ta.
Microsofti pressiesindaja sõnul oli uute CVE-de arv, millele ettevõte täna plaastrid välja andis, 48.
