माइक्रोसॉफ्ट ज़ीरो-डेज़ को संबोधित करता है, लेकिन एक्सचेंज सर्वर एक्सप्लॉइट चेन अप्रकाशित प्लेटोब्लॉकचेन डेटा इंटेलिजेंस बनी हुई है। लंबवत खोज. ऐ.

Microsoft शून्य-दिनों को संबोधित करता है, लेकिन एक्सचेंज सर्वर एक्सप्लॉइट चेन अप्रकाशित रहता है

समय टिकट: अक्टूबर 11, 2022 4:32 अपराह्न

अपने अक्टूबर पैच मंगलवार अपडेट के लिए, माइक्रोसॉफ्ट ने अपनी एज़्योर क्लाउड सेवा में एक महत्वपूर्ण सुरक्षा भेद्यता को संबोधित किया, सीवीएसएस भेद्यता-गंभीरता पैमाने पर दुर्लभ 10-आउट-ऑफ -10 रेटिंग लेकर।

टेक दिग्गज ने दो "महत्वपूर्ण" -रेटेड जीरो-डे बग्स को भी पैच किया, जिनमें से एक का जंगली में सक्रिय रूप से शोषण किया जा रहा है; और आगे, SharePoint में एक तीसरा मुद्दा हो सकता है, जिसका सक्रिय रूप से शोषण किया जा रहा है।

विशेष रूप से, हालाँकि, Microsoft ने दोनों के लिए सुधार जारी नहीं किए थे बिना पैच वाला एक्सचेंज सर्वर जीरो-डे बग्स जो सितंबर के अंत में सामने आया था।

अक्टूबर के लिए कुल मिलाकर, माइक्रोसॉफ्ट ने 85 सीवीई के लिए पैच जारी किए, जिसमें 15 महत्वपूर्ण बग शामिल थे। प्रभावित उत्पाद हमेशा की तरह उत्पाद पोर्टफोलियो का दायरा चलाते हैं: Microsoft Windows और Windows घटक; Azure, Azure Arc, और Azure DevOps; माइक्रोसॉफ्ट एज (क्रोमियम-आधारित); कार्यालय और कार्यालय घटक; विजुअल स्टूडियो कोड; सक्रिय निर्देशिका डोमेन सेवाएँ और सक्रिय निर्देशिका प्रमाणपत्र सेवाएँ; न्यू गेट क्लाइंट; हाइपर-वी; और विंडोज रेजिलिएंट फाइल सिस्टम (ReFS)।

ये माइक्रोसॉफ्ट एज (क्रोमियम-आधारित) के लिए 11 पैच और महीने में पहले जारी किए गए एआरएम प्रोसेसर में साइड-चैनल अटकलों के लिए एक पैच के अतिरिक्त हैं।

ए परफेक्ट 10: रेयर अल्ट्रा-क्रिटिकल वल्न

10-आउट-ऑफ़-10 बग (CVE-2022-37968) विशेषाधिकार का उन्नयन (EoP) और रिमोट कोड-निष्पादन (RCE) मुद्दा है जो एक अनधिकृत हमलावर को Azure Arc-सक्षम Kubernetes क्लस्टर पर प्रशासनिक नियंत्रण हासिल करने की अनुमति दे सकता है; यह Azure Stack Edge उपकरणों को भी प्रभावित कर सकता है।

जबकि साइबर हमलावरों को एज़्योर आर्क-सक्षम कुबेरनेट्स क्लस्टर के सफल होने के लिए बेतरतीब ढंग से उत्पन्न डीएनएस एंडपॉइंट जानने की आवश्यकता होगी, शोषण का एक बड़ा भुगतान है: वे अपने विशेषाधिकारों को क्लस्टर व्यवस्थापक तक बढ़ा सकते हैं और संभावित रूप से कुबेरनेट्स क्लस्टर पर नियंत्रण हासिल कर सकते हैं।

"यदि आप 1.5.8, 1.6.19, 1.7.18, और 1.8.11 से कम संस्करण वाले इस प्रकार के कंटेनरों का उपयोग कर रहे हैं और वे इंटरनेट से उपलब्ध हैं, तो तुरंत अपग्रेड करें," माइक वाल्टर्स, भेद्यता के उपाध्यक्ष और Action1 पर धमकी अनुसंधान, ईमेल के माध्यम से चेतावनी दी।

ज़ीरो-डे पैच की एक जोड़ी (शायद एक ट्रायड) - लेकिन वो पैच नहीं

सक्रिय शोषण के तहत नए शून्य-दिवस की पुष्टि की गई (CVE-2022-41033) Windows COM+ इवेंट सिस्टम सेवा में एक EoP भेद्यता है। इसमें 7.8 सीवीएसएस स्कोर है।

विंडोज COM+ इवेंट सिस्टम सर्विस ऑपरेटिंग सिस्टम के साथ डिफ़ॉल्ट रूप से लॉन्च की गई है और लॉगऑन और लॉगऑफ के बारे में सूचनाएं प्रदान करने के लिए जिम्मेदार है। विंडोज 7 और विंडोज सर्वर 2008 से शुरू होने वाले विंडोज के सभी संस्करण कमजोर हैं, और एक साधारण हमले से सिस्टम विशेषाधिकार प्राप्त हो सकते हैं, शोधकर्ताओं ने चेतावनी दी।

जीरो डे इनिशिएटिव (जेडडीआई) के डस्टिन चाइल्ड्स ने कहा, "चूंकि यह एक विशेषाधिकार वृद्धि बग है, इसलिए इसे सिस्टम को संभालने के लिए डिज़ाइन किए गए अन्य कोड-निष्पादन कारनामों के साथ जोड़ा जा सकता है।" विश्लेषण आज. "इस प्रकार के हमलों में अक्सर किसी न किसी प्रकार की सोशल इंजीनियरिंग शामिल होती है, जैसे किसी उपयोगकर्ता को अटैचमेंट खोलने या दुर्भावनापूर्ण वेबसाइट पर ब्राउज़ करने के लिए लुभाना। निकट-निरंतर फ़िशिंग-विरोधी प्रशिक्षण के बावजूद, विशेष रूप से 'साइबर सुरक्षा जागरूकता माह,' लोग हर चीज़ पर क्लिक करने की प्रवृत्ति रखते हैं, इसलिए इस सुधार का परीक्षण और परिनियोजन शीघ्रता से करें।"

टेनेबल के वरिष्ठ स्टाफ रिसर्च इंजीनियर सतनाम नारंग ने एक ईमेल के पुनर्कथन में उल्लेख किया कि एक प्रमाणित हमलावर बग का फायदा उठाने और सिस्टम को विशेषाधिकार बढ़ाने के लिए विशेष रूप से तैयार किए गए एप्लिकेशन को निष्पादित कर सकता है।

"जबकि विशेषाधिकार भेद्यता के उन्नयन के लिए एक हमलावर को अन्य माध्यमों से एक सिस्टम तक पहुंच प्राप्त करने की आवश्यकता होती है, वे अभी भी एक हमलावर के टूलबॉक्स में एक मूल्यवान उपकरण हैं, और इस महीने के पैच मंगलवार में उन्नयन-विशेषाधिकार दोषों की कोई कमी नहीं है, जैसा कि Microsoft ने 39 पैच किया था। , लगभग आधे बग पैच किए गए (46.4%), ”उन्होंने कहा।

एक्शन 1 के वाल्टर्स के अनुसार, यह विशेष ईओपी समस्या पैचिंग के लिए लाइन के शीर्ष पर जानी चाहिए।

"नए जारी किए गए पैच को स्थापित करना अनिवार्य है; अन्यथा, एक हमलावर जो एक अतिथि या सामान्य उपयोगकर्ता कंप्यूटर पर लॉग इन है, उस सिस्टम पर सिस्टम विशेषाधिकार जल्दी से प्राप्त कर सकता है और इसके साथ लगभग कुछ भी करने में सक्षम हो सकता है, "उन्होंने एक ईमेल विश्लेषण में लिखा। "यह भेद्यता उन संगठनों के लिए विशेष रूप से महत्वपूर्ण है जिनका बुनियादी ढांचा विंडोज सर्वर पर निर्भर करता है।"

अन्य सार्वजनिक रूप से ज्ञात बग की पुष्टि की (CVE-2022-41043) मैक के लिए माइक्रोसॉफ्ट ऑफिस में एक सूचना-प्रकटीकरण मुद्दा है जिसकी सीवीएसएस जोखिम रेटिंग 4 में से सिर्फ 10 है।

वाटर्स ने एक और संभावित रूप से शोषित शून्य-दिन की ओर इशारा किया: SharePoint सर्वर में एक दूरस्थ कोड निष्पादन (RCE) समस्या (CVE-2022-41036, CVSS 8.8) जो SharePoint 2013 सर्विस पैक 1 से शुरू होने वाले सभी संस्करणों को प्रभावित करता है।

"नेटवर्क-आधारित हमले में, प्रबंधित सूची अनुमतियों वाला एक प्रमाणित विरोधी SharePoint सर्वर पर दूरस्थ रूप से कोड निष्पादित कर सकता है और प्रशासनिक अनुमतियों तक बढ़ सकता है," उन्होंने कहा।

सबसे महत्वपूर्ण बात, "Microsoft रिपोर्ट करता है कि एक शोषण पहले से ही बनाया जा चुका है और हैकर समूहों द्वारा उपयोग किया जा रहा है, लेकिन अभी तक इसका कोई प्रमाण नहीं है," उन्होंने कहा। "फिर भी, यदि आपके पास इंटरनेट के लिए SharePoint सर्वर खुला है, तो यह भेद्यता गंभीरता से लेने योग्य है।"

कोई प्रॉक्सी नॉटशेल पैच नहीं

यह ध्यान दिया जाना चाहिए कि ये दो शून्य-दिन पैच नहीं हैं जिनकी शोधकर्ताओं को उम्मीद थी; वे बग, CVE-2022-41040 और CVE-2022-41082, ProxyNotShell के नाम से भी जाना जाता है, अनपढ़ रहें। जब एक साथ बंधे होते हैं, तो वे एक्सचेंज सर्वर पर आरसीई की अनुमति दे सकते हैं।

"इस महीने की रिलीज़ में जो शामिल नहीं है वह अधिक दिलचस्प हो सकता है। एक्सचेंज सर्वर के लिए कोई अपडेट नहीं है, दो एक्सचेंज बग के कम से कम दो सप्ताह तक सक्रिय रूप से शोषण किए जाने के बावजूद, "चाइल्ड ने लिखा। "ये बग सितंबर की शुरुआत में ZDI द्वारा खरीदे गए थे और उस समय Microsoft को रिपोर्ट किए गए थे। इन बग्स को पूरी तरह से संबोधित करने के लिए कोई अपडेट उपलब्ध नहीं होने के कारण, सबसे अच्छा प्रशासक यह सुनिश्चित कर सकता है कि सितंबर … संचयी अपडेट (सीयू) स्थापित हो।”

रैपिड2022 में भेद्यता अनुसंधान के वरिष्ठ प्रबंधक केटलिन कोंडोन कहते हैं, "उच्च उम्मीदों के बावजूद कि आज की पैच मंगलवार की रिलीज में कमजोरियों के लिए सुधार शामिल होंगे, एक्सचेंज सर्वर अक्टूबर 7 सुरक्षा अपडेट की प्रारंभिक सूची से स्पष्ट रूप से गायब है।" "ज्ञात हमले पैटर्न को अवरुद्ध करने के लिए माइक्रोसॉफ्ट के अनुशंसित नियम को कई बार बाईपास किया गया है, जो एक सच्चे सुधार की आवश्यकता पर बल देता है।"

सितंबर की शुरुआत में, रैपिड 7 लैब्स ने पोर्ट 191,000 के माध्यम से इंटरनेट के संपर्क में आने वाले एक्सचेंज सर्वर के 443 संभावित रूप से कमजोर उदाहरणों को देखा, वह आगे कहती हैं। हालांकि, इसके विपरीत प्रॉक्सीशैल
और प्रॉक्सी लॉगऑन
शोषण श्रृंखला, बग के इस समूह के लिए एक हमलावर को सफल शोषण के लिए प्रमाणित नेटवर्क पहुंच की आवश्यकता होती है।

"अब तक, हमले सीमित और लक्षित रहे हैं," वह कहती हैं, "यह जारी रहने की संभावना नहीं है क्योंकि समय चल रहा है और धमकी देने वाले अभिनेताओं के पास पहुंच हासिल करने और शोषण की जंजीरों को मजबूत करने का अधिक अवसर है। हम आने वाले महीनों में लगभग निश्चित रूप से अतिरिक्त पोस्ट-ऑथेंटिकेशन कमजोरियों को जारी करेंगे, लेकिन असली चिंता एक अनधिकृत अटैक वेक्टर पॉप अप होगी क्योंकि आईटी और सुरक्षा दल साल के अंत में कोड फ्रीज को लागू करते हैं।

व्यवस्थापक ध्यान दें: अन्य बग्स को प्राथमिकता दें

जहां तक ​​अन्य मुद्दों को प्राथमिकता देने की बात है, ZDI के चाइल्ड्स ने दो विंडोज क्लाइंट सर्वर रन-टाइम सबसिस्टम (CSRSS) EoP बग्स को ट्रैक किया CVE-2022-37987
और CVE-2022-37989
(दोनों 7.8 सीवीएसएस)।

"CVS-2022-37989 CVE-2022-22047 के लिए एक असफल पैच है, जो पहले का एक बग था जिसमें कुछ जंगली शोषण देखा गया था," उन्होंने समझाया। "यह भेद्यता अविश्वसनीय प्रक्रियाओं से इनपुट स्वीकार करने में बहुत उदार होने के कारण सीएसआरएसएस का परिणाम है। इसके विपरीत, सीवीई-2022-37987 एक नया हमला है जो सीएसआरएसएस को धोखा देकर एक असुरक्षित स्थान से निर्भरता की जानकारी लोड करने का काम करता है।"

इसके अलावा उल्लेखनीय: रैपिड 7 के उत्पाद प्रबंधक ग्रेग वाइसमैन के अनुसार, नौ सीवीई को गंभीर गंभीरता के साथ आरसीई बग के रूप में वर्गीकृत किया गया था, और उनमें से सात प्वाइंट-टू-पॉइंट टनलिंग प्रोटोकॉल को प्रभावित करते हैं। "[ये] एक हमलावर को उनका शोषण करने के लिए दौड़ की स्थिति जीतने की आवश्यकता होती है," उन्होंने ईमेल के माध्यम से उल्लेख किया।

ऑटोमॉक्स शोधकर्ता जे गुडमैन कहते हैं कि CVE-2022-38048 (सीवीएसएस 7.8) कार्यालय के सभी समर्थित संस्करणों को प्रभावित करता है, और वे एक हमलावर को एक सिस्टम का नियंत्रण लेने की अनुमति दे सकते हैं "जहां वे प्रोग्राम स्थापित करने, डेटा देखने या बदलने, या पूर्ण उपयोगकर्ता अधिकारों के साथ लक्ष्य प्रणाली पर नए खाते बनाने के लिए स्वतंत्र होंगे। ।" जबकि भेद्यता का शोषण होने की संभावना कम है, माइक्रोसॉफ्ट के अनुसार, हमले की जटिलता कम के रूप में सूचीबद्ध है।

और अंत में, ऑटोमॉक्स शोधकर्ता जीना गीसेल ने चेतावनी दी है कि CVE-2022-38028
(सीवीएसएस 7.8), एक विंडोज प्रिंट स्पूलर ईओपी बग, एक कम-विशेषाधिकार और कम-जटिलता भेद्यता के रूप में, जिसके लिए किसी उपयोगकर्ता इंटरैक्शन की आवश्यकता नहीं होती है।

"एक हमलावर को एक प्रभावित सिस्टम पर लॉग ऑन करना होगा और सिस्टम विशेषाधिकार प्राप्त करने के लिए विशेष रूप से तैयार की गई स्क्रिप्ट या एप्लिकेशन को चलाना होगा," वह नोट करती है। "इन हमलावर विशेषाधिकारों के उदाहरणों में प्रोग्राम इंस्टॉल करना शामिल है; डेटा को संशोधित करना, बदलना और हटाना; पूर्ण उपयोगकर्ता अधिकारों के साथ नए खाते बनाना; और बाद में नेटवर्क के आसपास घूम रहा है। ”

समय टिकट:

से अधिक डार्क रीडिंग