Microsoft torjuu nollapäivän aktiivisesti hyödynnetyt bugit joulukuun päivityksessä

Microsoft on julkaissut korjauksia 48 uuteen haavoittuvuuteen tuotteissaan, mukaan lukien yksi, jota hyökkääjät käyttävät aktiivisesti hyväkseen, ja toinen, joka on julkistettu, mutta jota ei hyödynnetä nyt aktiivisesti.

Kuusi haavoittuvuudesta, jotka yritys korjasi vuoden viimeisessä kuukausittaisessa tietoturvapäivityksessään, on listattu kriittisiksi. Se antoi tärkeän vakavuusluokituksen 43 haavoittuvuudelle ja antoi kolmelle puutteelle kohtalaisen vakavuusarvion. 

Microsoftin päivitys sisältää korjaustiedostoja kaistan ulkopuolisille CVE:ille, joita se käsitteli viimeisen kuukauden aikana, sekä 23 haavoittuvuutta Googlen Chromium-selainteknologiassa, johon Microsoftin Edge-selain perustuu.

Aktiivisesti hyödynnetty tietoturvavirhe

Virhe, jota hyökkääjät käyttävät aktiivisesti (CVE-2022-44698) ei ole yksi kriittisimpiä virheitä kohtaan, joille Microsoft julkaisi korjaustiedostoja tänään. Virhe antaa hyökkääjille tavan ohittaa Windows SmartScreen -suojausominaisuuden, joka suojaa käyttäjiä Internetistä ladatuilta haitallisilta tiedostoilta. 

"Hyökkääjä voi luoda haitallisen tiedoston, joka kiertää Mark of the Web (MOTW) -suojauksen, mikä johtaa rajoitettuun MOTW-koodaukseen perustuvien suojausominaisuuksien, kuten Microsoft Officen suojatun näkymän, eheyden ja saatavuuden heikkenemiseen", Microsoft sanoi.

CVE-2022-44698 on vain suhteellisen pieni riski organisaatioille, sanoo Kevin Breen, Immersive Labsin kyberuhkien tutkimuksen johtaja. "Se on käytettävä yhdessä suoritettavan tiedoston tai muun haitallisen koodin, kuten asiakirjan tai komentosarjatiedoston kanssa", Breen sanoo. "Näissä tilanteissa tämä CVE ohittaa osan Microsoftin sisäänrakennetusta maineen tarkistuksesta ja tunnistamisesta - nimittäin SmartScreenin, joka tavallisesti ponnahtaa esiin kertomaan käyttäjälle, että tiedosto ei ehkä ole turvallinen." 

Samaan aikaan käyttäjien ei pidä aliarvioida uhkaa ja korjata ongelma nopeasti, Breen suosittelee.

Microsoft kuvaili toista epäkohtaa - DirectX Graphics -ytimen käyttöoikeuksien korotusongelmaa julkisesti tunnetuksi nollapäiväksi, mutta ei aktiivisen hyväksikäytön alaisena. Yritys arvioi haavoittuvuuden (CVE-2022-44710) vakavuudeltaan "tärkeänä", ja sen avulla hyökkääjä voi saada järjestelmätason oikeudet, jos sitä käytetään hyväksi. Yritys kuvaili kuitenkin virhettä sellaiseksi, jota hyökkääjät eivät todennäköisesti pysty hyödyntämään.

Haavoittuvuudet korjattavaksi nyt

Trend Micron ZDI ilmoitti kolme muuta haavoittuvuutta joulukuun Patch Tuesday -tietoturvapäivityksessä merkittäviksi: CVE-2022-44713, CVE-2022-41076ja CVE-2022-44699.

CVE-2022-44713 on Microsoft Outlook for Macin huijaushaavoittuvuus. Haavoittuvuuden ansiosta hyökkääjä voi esiintyä luotettuna käyttäjänä ja saada uhrin erehtymään sähköpostiviestiin ikään kuin se olisi tullut lailliselta käyttäjältä. 

"Emme usein korosta huijausvirheitä, mutta aina kun olet tekemisissä huijausvirheen kanssa sähköpostiohjelmassa, sinun tulee huomioida se", ZDI:n uhkatietoisuuden johtaja Dustin Childs sanoi blogikirjoituksessa. Haavoittuvuus voi osoittautua erityisen hankalaksi, kun se yhdistetään edellä mainittuun SmartScreen MoTW -ohitusvirheeseen, jota hyökkääjät käyttävät aktiivisesti, hän sanoi.

Microsoft sanoi, että CVE-2022-41076 on PowerShell-koodin etäsuorittamisen (RCE) haavoittuvuus, jonka avulla todennettu hyökkääjä voi paeta PowerShell Remoting Session Configurationista ja suorittaa mielivaltaisia ​​komentoja haavoittuvaisessa järjestelmässä. 

Yhtiö arvioi haavoittuvuuden sellaiseksi, jonka hyökkääjät todennäköisemmin vaarantavat, vaikka itse hyökkäyksen monimutkaisuus on korkea. Childsin mukaan organisaatioiden tulee kiinnittää huomiota haavoittuvuuteen, koska hyökkääjät usein käyttävät sitä hyväkseen, kun he haluavat "eläytyä maasta" saatuaan ensimmäisen pääsyn verkkoon. 

"Älä todellakaan jätä tätä korjaustiedostoa huomiotta", Childs kirjoitti.

Ja lopuksi, CVE-2022-44699 on toinen suojauksen ohitushaavoittuvuus – tällä kertaa Azure Network Watcher Agentissa - jotka voivat, jos niitä käytetään, vaikuttaa organisaation kykyyn kaapata lokeja, joita tarvitaan tapaturmien reagoinnissa. 

"Ei ehkä ole monia yrityksiä, jotka luottavat tähän työkaluun, mutta tätä [Azure Network Watcher] VM-laajennusta käyttävien osalta tätä korjausta tulisi käsitellä kriittisenä ja ottaa nopeasti käyttöön", Childs sanoi.

Tutkijat Cisco Talosin kanssa tunnisti kolme muuta haavoittuvuutta kriittisinä ja ongelmina, joihin organisaatioiden on puututtava välittömästi. Yksi niistä on CVE-2022-41127, RCE-haavoittuvuus, joka vaikuttaa Microsoft Dynamics NAV:iin ja Microsoft Dynamics 365 Business Centralin paikallisiin versioihin. Onnistunut hyväksikäyttö voi antaa hyökkääjälle mahdollisuuden suorittaa mielivaltaista koodia palvelimilla, joissa on Microsoftin Dynamics NAV ERP -sovellus, Talosin tutkijat sanoivat blogikirjoituksessaan. 

Kaksi muuta haavoittuvuutta, joita myyjä pitää erittäin tärkeinä, ovat CVE-2022-44670 ja CVE-2022-44676, jotka molemmat ovat RCE-virheitä Windows Secure Socket Tunneling Protocolissa (SSTP). 

"Näiden haavoittuvuuksien onnistunut hyödyntäminen edellyttää, että hyökkääjä voittaa kilpailutilanteen, mutta se voi antaa hyökkääjälle mahdollisuuden suorittaa koodia etänä RAS-palvelimilla", Microsoftin neuvon mukaan.

Niiden haavoittuvuuksien joukossa SANS Internet Storm Center tärkeitä ovat (CVE-2022-41089), RCE .NET Frameworkissa ja (CVE-2022-44690) Microsoft SharePoint Serverissä.

Jonkin sisällä blogi, Mike Walters, Action1 Corp.:n haavoittuvuus- ja uhkatutkimuksesta vastaava varatoimitusjohtaja, viittasi myös Windows Print Spoolerin etuoikeushaavoittuvuuden korotuksiin (CVE-2022-44678), kuten toinen asia katsoa. 

"Äskettäin ratkaistua CVE-2022-44678:aa hyödynnetään todennäköisimmin, mikä on luultavasti totta, koska Microsoft korjasi viime kuussa toisen Print Spooleriin liittyvän nollapäivän haavoittuvuuden", Walters sanoi. "CVE-2022-44678:n riski on sama: hyökkääjä voi saada JÄRJESTELMÄN oikeudet onnistuneen hyödyntämisen jälkeen - mutta vain paikallisesti."

Hämmentävä bugiluku

Mielenkiintoista on, että useat toimittajat suhtautuivat eri tavoin Microsoftin tässä kuussa korjaamien haavoittuvuuksien määrään. Esimerkiksi ZDI arvioi, että Microsoft korjasi 52 haavoittuvuutta; Talos piti luvun 48:ssa, SANS:ssa 74, ja Action1:llä Microsoft korjasi alun perin 74:ää, ennen kuin muutti sen 52:een.

SANS-teknologiainstituutin tutkimusdekaani Johannes Ullrich sanoo, että ongelma liittyy erilaisiin tavoihin, joilla haavoittuvuudet voidaan laskea. Jotkut esimerkiksi sisältävät Chromiumin haavoittuvuuksia, kun taas toiset eivät. 

Toiset, kuten SANS, sisältävät myös tietoturva-ohjeita, jotka joskus liitetään Microsoft-päivityksiin haavoittuvuuksina. Microsoft julkaisee joskus myös korjaustiedostoja kuukauden aikana, jotka se sisällyttää myös seuraavaan korjauspäivitystiistain päivitykseen, ja jotkut tutkijat eivät laske niitä. 

"Korjaustiedostojen määrä voi joskus olla hämmentävää, koska Patch Tuesday -sykli on teknisesti marraskuusta joulukuuhun, joten tämä sisältää myös korjaustiedostoja, jotka julkaistiin bändin ulkopuolella aiemmin tässä kuussa, ja se voi sisältää myös päivityksiä kolmansien osapuolien toimittajilta", Breen sanoo. . "Tästä merkittävimmät ovat Googlen korjaustiedostot Chromiumista, joka on Microsoftin Edge-selaimen perusta."
Breen sanoo laskelmiensa mukaan 74 haavoittuvuutta korjattu marraskuun viimeisen korjaustiistain jälkeen. Tämä sisältää 51 Microsoftilta ja 23 Googlelta Edge-selaimelle. 

"Jos jätämme pois sekä kaistan ulkopuoliset että Google Chromium [korjaukset], tänään julkaistiin 49 korjausta haavoittuvuuksille", hän sanoo.

Microsoftin tiedottajan mukaan uusien CVE-korjausten määrä, joille yhtiö julkaisi tänään korjaustiedostoja, oli 48.