Lokakuun korjauspäivitystiistain päivityksessään Microsoft korjasi Azure-pilvipalvelunsa kriittisen tietoturvahaavoittuvuuden, jonka CVSS-haavoittuvuuden ja vakavuuden asteikolla on harvinainen 10/10.
Teknologiajätti myös korjasi kaksi "tärkeää" -luokitusta nollapäivän bugia, joista yhtä hyödynnetään aktiivisesti luonnossa; ja lisäksi voi olla kolmas ongelma, SharePointissa, jota myös hyödynnetään aktiivisesti.
Erityisesti Microsoft ei kuitenkaan antanut korjauksia molemmille korjaamattomia Exchange Serverin nollapäivän virheitä joka tuli ilmi syyskuun lopulla.
Kaikkiaan lokakuussa Microsoft julkaisi korjaustiedostoja 85 CVE:lle, mukaan lukien 15 kriittistä virhettä. Tuotteet, joita asia koskee, toimivat normaalisti tuotevalikoimassa: Microsoft Windows ja Windows Components; Azure, Azure Arc ja Azure DevOps; Microsoft Edge (Chromium-pohjainen); Toimisto ja toimistokomponentit; Visual Studio Code; Active Directory Domain Services ja Active Directory -varmennepalvelut; Nu Hanki asiakas; Hyper-V; ja Windows Resilient File System (ReFS).
Nämä ovat 11 Microsoft Edgen (Chromium-pohjaisen) korjaustiedoston ja ARM-prosessorien sivukanavaspekulaatiokorjauksen lisäksi, jotka julkaistiin aiemmin kuussa.
Täydellinen 10: Harvinainen Ultra-Critical Vuln
10/10 bugi (CVE-2022-37968) on käyttöoikeuksien korotus (EoP) ja koodin etäsuorittamisen (RCE) ongelma, jonka avulla todentamaton hyökkääjä voi saada hallinnollisen hallinnan Azure Arc -yhteensopiviin Kubernetes-klusteriin; se voi myös vaikuttaa Azure Stack Edge -laitteisiin.
Vaikka kyberhyökkääjien olisi tiedettävä satunnaisesti luotu DNS-päätepiste Azure Arc -yhteensopivalle Kubernetes-klusterille menestyäkseen, hyväksikäytöllä on suuri hyöty: he voivat nostaa klusterin järjestelmänvalvojan oikeuksiaan ja mahdollisesti saada Kubernetes-klusterin hallintaansa.
"Jos käytät tämän tyyppisiä säilöjä, joiden versiot ovat vanhempia kuin 1.5.8, 1.6.19, 1.7.18 ja 1.8.11 ja ne ovat saatavilla Internetistä, päivitä välittömästi", haavoittuvuuksista ja haavoittuvuuksista vastaava varatoimitusjohtaja Mike Walters Action1:n uhkatutkimus, varoitettu sähköpostitse.
Pari (ehkä kolmikko) Zero-Day Patche -päivityksiä – mutta ei NE laastareita
Uusi nollapäivä vahvistettiin olevan aktiivisen hyväksikäytön alla (CVE-2022-41033) on EoP-haavoittuvuus Windows COM+ -tapahtumajärjestelmäpalvelussa. Sen CVSS-pistemäärä on 7.8.
Windows COM+ -tapahtumajärjestelmäpalvelu käynnistetään oletusarvoisesti käyttöjärjestelmän kanssa, ja se vastaa sisään- ja uloskirjautumisten ilmoituksista. Kaikki Windows-versiot Windows 7:stä ja Windows Server 2008:sta alkaen ovat haavoittuvia, ja yksinkertainen hyökkäys voi johtaa JÄRJESTELMÄN oikeuksien saamiseen, tutkijat varoittivat.
"Koska tämä on etuoikeuksien eskalaatiovirhe, se on todennäköisesti yhdistetty muihin koodinsuoritushyödykkeisiin, jotka on suunniteltu ottamaan haltuunsa järjestelmä", Dustin Childs Zero Day Initiativesta (ZDI) totesi tiedotteessa. analyysi tänään. "Tällaisiin hyökkäyksiin liittyy usein jonkinlaista sosiaalista manipulointia, kuten käyttäjän houkutteleminen avaamaan liite tai selaamaan haitallista verkkosivustoa. Huolimatta lähes jatkuvasta tietojenkalastelun torjuntakoulutuksesta, erityisestiKyberturvallisuustietoisuuskuukausi, ihmisillä on tapana napsauttaa kaikkea, joten testaa ja ota tämä korjaus käyttöön nopeasti."
Satnam Narang, Tenablen vanhempi tutkimusinsinööri, huomautti sähköpostilla lähetetyssä yhteenvedossa, että todennettu hyökkääjä voi suorittaa erityisesti laaditun sovelluksen hyödyntääkseen virhettä ja lisätäkseen JÄRJESTELMÄN oikeuksia.
"Vaikka käyttöoikeuksien korottamisen haavoittuvuudet edellyttävät hyökkääjän pääsevän järjestelmään muilla tavoilla, ne ovat silti arvokas työkalu hyökkääjän työkalupakkissa, ja tämän kuun korjaustiistaina ei ole pulaa etuoikeuksien korotusvirheistä, sillä Microsoft korjasi 39. , mikä on lähes puolet korjatuista virheistä (46.4 %)", hän sanoi.
Action1:n Waltersin mukaan tämän nimenomaisen EoP-ongelman pitäisi mennä korjauslinjan päähän.
"Äskettäin julkaistun korjaustiedoston asentaminen on pakollista; Muuten hyökkääjä, joka on kirjautunut sisään vieras- tai tavallisen käyttäjän tietokoneeseen, voi nopeasti hankkia JÄRJESTELMÄN oikeudet kyseiselle järjestelmälle ja tehdä sillä melkein mitä tahansa", hän kirjoitti sähköpostitse lähetetyssä analyysissä. "Tämä haavoittuvuus on erityisen merkittävä organisaatioille, joiden infrastruktuuri perustuu Windows Serveriin."
Toinen vahvistettu julkisesti tunnettu bugi (CVE-2022-41043) on Microsoft Office for Macin tietojen paljastamisongelma, jonka CVSS-riskiluokitus on vain 4/10.
Waters viittasi toiseen mahdollisesti hyödynnettyyn nollapäivään: etäkoodin suoritusongelmaan (RCE) SharePoint Serverissä (CVE-2022-41036, CVSS 8.8), joka vaikuttaa kaikkiin versioihin, jotka alkavat SharePoint 2013 Service Pack 1:stä.
"Verkkopohjaisessa hyökkäyksessä todennettu vastustaja, jolla on luettelon hallintaoikeudet, voisi suorittaa koodin etäyhteyden kautta SharePoint Serverissä ja siirtyä järjestelmänvalvojan käyttöoikeuksiin", hän sanoi.
Mikä tärkeintä, "Microsoft raportoi, että hyväksikäyttö on todennäköisesti jo luotu ja hakkeriryhmät käyttävät sitä, mutta tästä ei ole vielä todisteita", hän sanoi. "Tämä haavoittuvuus kannattaa kuitenkin ottaa vakavasti, jos sinulla on Internetille avoin SharePoint Server."
Ei ProxyNotShell-korjauksia
On huomattava, että nämä eivät ole niitä kahta nollapäivän korjausta, joita tutkijat odottivat; ne virheet, CVE-2022-41040 ja CVE-2022-41082, tunnetaan myös nimellä ProxyNotShell, jää osoittelematta. Kun ne on ketjutettu yhteen, ne voivat sallia RCE:n Exchange-palvelimissa.
”Mielenkiintoisempaa saattaa olla se, mikä ei sisälly tämän kuun julkaisuun. Exchange Serverille ei ole päivityksiä, vaikka kahta Exchange-virhettä on käytetty aktiivisesti ainakin kahden viikon ajan”, Childs kirjoitti. "ZDI osti nämä virheet syyskuun alussa ja ilmoitti niistä tuolloin Microsoftille. Koska päivityksiä ei ole saatavilla näiden virheiden korjaamiseksi, järjestelmänvalvojat voivat parhaiten varmistaa, että syyskuun … kumulatiivinen päivitys (CU) on asennettu."
"Huolimatta suurista toiveista, että tämänpäiväinen Patch Tuesday -julkaisu sisältäisi korjauksia haavoittuvuuksiin, Exchange Server puuttuu selvästi lokakuun 2022 tietoturvapäivitysten alkuperäisestä luettelosta", sanoo Caitlin Condon, Rapid7:n haavoittuvuustutkimuksesta vastaava johtaja. "Microsoftin suosittelema sääntö tunnettujen hyökkäysmallien estämisestä on ohitettu useita kertoja, mikä korostaa todellisen korjauksen tarvetta."
Syyskuun alussa Rapid7 Labs havaitsi jopa 191,000 443 mahdollisesti haavoittuvaa Exchange Serverin tapausta, jotka olivat altistuneet Internetiin portin XNUMX kautta, hän lisää. Kuitenkin toisin kuin ProxyShell
ja Välityspalvelin
hyödyntää ketjuja, tämä bugiryhmä vaatii hyökkääjältä todennettua verkkoon pääsyä onnistuneeseen hyödyntämiseen.
"Toistaiseksi hyökkäykset ovat olleet rajallisia ja kohdistettuja", hän sanoo ja lisää: "Tämä tuskin jatkuu ajan myötä ja uhkatoimijoilla on enemmän mahdollisuuksia päästä käsiksi ja hioa hyväksikäyttöketjuja. Tulevina kuukausina tulemme lähes varmasti näkemään uusia todennuksen jälkeisiä haavoittuvuuksia, mutta todellinen huolenaihe olisi todentamaton hyökkäysvektori, joka ilmaantuisi IT- ja tietoturvatiimien toteuttaessa vuoden lopun koodin jäädytyksiä.
Järjestelmänvalvojat huomioivat: Muita priorisoitavia virheitä
Mitä tulee muihin priorisoitaviin ongelmiin, ZDI:n Childs ilmoitti kaksi Windows Client Server Run-time Subsystem (CSRSS) EoP-virhettä, jotka jäljitettiin nimellä CVE-2022-37987
ja CVE-2022-37989
(molemmat 7.8 CVSS).
"CVS-2022-37989 on epäonnistunut korjaustiedosto CVE-2022-22047:lle, aikaisemmalle bugille, joka näki jonkin verran luonnossa tapahtuvaa hyväksikäyttöä", hän selitti. "Tämä haavoittuvuus johtuu siitä, että CSRSS on liian lempeä hyväksyessään syötteitä epäluotettavilta prosesseilta. Sitä vastoin CVE-2022-37987 on uusi hyökkäys, joka pettää CSRSS:n lataamaan riippuvuustietoja suojaamattomasta sijainnista.
Myös huomionarvoista: Rapid7:n tuotepäällikön Greg Wisemanin mukaan yhdeksän CVE:tä, jotka on luokiteltu kriittisen vakavuuden omaaviksi RCE-virheiksi, korjattiin tänään, ja seitsemän niistä vaikuttaa Point-to-Point Tunneling Protocoliin. "[Nämä] vaativat hyökkääjän voittamaan kilpailutilanteen hyödyntääkseen niitä", hän huomautti sähköpostitse.
Automox-tutkija Jay Goodman lisää tämän CVE-2022-38048 (CVSS 7.8) vaikuttaa kaikkiin tuettuihin Office-versioihin, ja ne voivat antaa hyökkääjän ottaa järjestelmän hallintaansa, "jossa he voivat vapaasti asentaa ohjelmia, tarkastella tai muuttaa tietoja tai luoda uusia tilejä kohdejärjestelmään täydellä käyttöoikeudella. .” Vaikka haavoittuvuutta ei todennäköisesti hyödynnetä, Microsoftin mukaan hyökkäyksen monimutkaisuus on alhainen.
Ja lopuksi Gina Geisel, myös Automoxin tutkija, varoittaa siitä CVE-2022-38028
(CVSS 7.8), Windows Print Spooler EoP -virhe, joka on vähäinen etuoikeus ja vähän monimutkainen haavoittuvuus, joka ei vaadi käyttäjän toimia.
"Hyökkääjän on kirjauduttava sisään järjestelmään, jota asia koskee, ja suoritettava erityisesti muodostettu komentosarja tai sovellus saadakseen järjestelmän käyttöoikeudet", hän huomauttaa. "Esimerkkejä näistä hyökkääjän oikeuksista ovat ohjelmien asentaminen; tietojen muuttaminen, muuttaminen ja poistaminen; uusien tilien luominen kaikilla käyttöoikeuksilla; ja liikkuminen sivusuunnassa verkkojen ympärillä."
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
