A Microsoft 48 új sérülékenységet adott ki termékeinek javítására, köztük egy olyanra, amelyet a támadók aktívan kihasználnak, és egy másikat, amelyet nyilvánosságra hoztak, de jelenleg nincs aktív kihasználás alatt.
A vállalat az év utolsó havi biztonsági frissítésében javított sérülékenységek közül hat kritikusnak számít. Fontos súlyossági besorolást rendelt 43 sebezhetőséghez, és három hibára mérsékelt súlyossági értékelést adott.
Microsoft frissítés tartalmazza a javításokat az elmúlt hónapban kijavított sávon kívüli CVE-ekhez, valamint 23 sebezhetőséget a Google Chromium böngészőtechnológiájában, amelyen a Microsoft Edge böngészője alapul.
Aktívan kihasznált biztonsági hiba
A hiba, amelyet a támadók aktívan kihasználnak (CVE-2022 44698-) nem tartozik a kritikusabb hibák közé, amelyekre a Microsoft ma javításokat adott ki. A hiba lehetővé teszi a támadók számára, hogy megkerüljék a Windows SmartScreen biztonsági funkcióját, amely megvédi a felhasználókat az internetről letöltött rosszindulatú fájloktól.
"A támadó olyan rosszindulatú fájlt hozhat létre, amely kijátszhatja a Mark of the Web (MOTW) védelmet, ami az integritás és a biztonsági funkciók, például a Microsoft Office Védett nézetének korlátozott elvesztését eredményezi, amelyek MOTW címkézésen alapulnak" - mondta a Microsoft.
A CVE-2022-44698 csak viszonylag kis kockázatot jelent a szervezetek számára, mondja Kevin Breen, az Immersive Labs kiberfenyegetések kutatásáért felelős igazgatója. „Egy végrehajtható fájllal vagy más rosszindulatú kóddal, például dokumentum- vagy szkriptfájllal együtt kell használni” – mondja Breen. „Ezekben a helyzetekben ez a CVE megkerüli a Microsoft néhány beépített hírnév-ellenőrzését és észlelését – nevezetesen a SmartScreen-t, amely általában felbukkan, hogy jelezze a felhasználónak, hogy a fájl esetleg nem biztonságos.”
Ugyanakkor a felhasználóknak nem szabad alábecsülniük a fenyegetést, és gyorsan javítsák a problémát, javasolja Breen.
A Microsoft egy másik hibát – a DirectX Graphics kernel jogosultság-emelési problémáját – nyilvánosan ismert nulladik napként írt le, de nem aktív kihasználás alatt. A cég felmérte a sebezhetőséget (CVE-2022 44710-). A cég azonban úgy jellemezte a hibát, hogy a támadók kevésbé tudják kihasználni.
Sebezhetőségek a javításhoz most
A Trend Micro ZDI három másik sebezhetőségét jelölte meg jelentősnek a decemberi javítási keddi biztonsági frissítésben: CVE-2022 44713-, CVE-2022 41076-és CVE-2022 44699-.
CVE-2022 44713- a Microsoft Outlook for Mac rendszer hamisítási biztonsági rése. A biztonsági rés lehetővé teszi, hogy a támadó megbízható felhasználóként jelenjen meg, és az áldozat úgy tévesszen meg egy e-mailt, mintha jogos felhasználótól érkezett volna.
„Nem gyakran emeljük ki a hamisítási hibákat, de amikor egy e-mail kliensben hamisítási hibával találkozik, ezt észre kell vennie” – mondta Dustin Childs, a ZDI fenyegetés-tudatosságért felelős vezetője. mondta egy blogbejegyzésben. A biztonsági rés különösen problémásnak bizonyulhat, ha kombinálják a SmartScreen MoTW már említett megkerülési hibájával, amelyet a támadók aktívan kihasználnak.
A Microsoft szerint a CVE-2022-41076 a PowerShell távoli kódvégrehajtási (RCE) biztonsági rése, amely lehetővé teszi a hitelesített támadók számára, hogy kiszabaduljanak a PowerShell távoli munkamenet konfigurációjából, és tetszőleges parancsokat futtathassanak az érintett rendszeren.
A vállalat úgy értékelte a sebezhetőséget, hogy a támadók nagyobb valószínűséggel kompromittálhatják, bár maga a támadás összetettsége magas. Childs szerint a szervezeteknek figyelniük kell a sérülékenységre, mert ez az a fajta hiba, amelyet a támadók gyakran kihasználnak, amikor a hálózathoz való kezdeti hozzáférést követően „a földből akarnak élni”.
„Határozottan ne hagyja figyelmen kívül ezt a javítást” – írta Childs.
És végül, a CVE-2022-44699 egy másik biztonsági megkerülési sebezhetőség – ezúttal az Azure Network Watcher Agentben - amelyek kihasználása hatással lehet a szervezet azon képességére, hogy rögzítse az incidensre adott válaszokhoz szükséges naplókat.
„Lehet, hogy nem sok vállalat támaszkodik erre az eszközre, de az [Azure Network Watcher] virtuálisgép-bővítményt használók számára ezt a javítást kritikusnak kell tekinteni, és gyorsan telepíteni kell” – mondta Childs.
A Cisco Talos kutatói további három sebezhetőséget azonosított olyan kritikus és olyan kérdések, amelyekkel a szervezeteknek azonnal foglalkozniuk kell. Az egyik a CVE-2022-41127, egy RCE-sérülékenység, amely a Microsoft Dynamics NAV-ot és a Microsoft Dynamics 365 Business Central helyszíni verzióit érinti. Egy sikeres kihasználás lehetővé teheti a támadók számára, hogy tetszőleges kódot hajtsanak végre a Microsoft Dynamics NAV ERP alkalmazását futtató szervereken – írták a Talos kutatói egy blogbejegyzésben.
A másik két sebezhetőség, amelyet az eladó kiemelten fontosnak tart, az CVE-2022 44670- és a CVE-2022 44676-, mindkettő a Windows Secure Socket Tunneling Protocol (SSTP) RCE hibája.
„E sebezhetőségek sikeres kihasználásához a támadónak versenyfeltételt kell nyernie, de lehetővé teheti a támadó számára, hogy távolról futtasson kódot a RAS-kiszolgálókon” – áll a Microsoft tanácsában.
A sérülékenységek között, amelyek a SANS Internet Storm Center fontosnak azonosították (CVE-2022 41089-), egy RCE a .NET-keretrendszerben, és (CVE-2022 44690-) a Microsoft SharePoint Serverben.
egy blogbejegyzés, Mike Walters, az Action1 Corp. sebezhetőség- és fenyegetettségkutatási részlegének alelnöke szintén a Windows Print Spooler jogosultságnövelő sérülésére mutatott rá (CVE-2022 44678-), mint másik kérdés nézni.
"Az újonnan feloldott CVE-2022-44678 valószínűleg kihasználható, ami valószínűleg igaz, mert a Microsoft a múlt hónapban egy másik nulladik napi sebezhetőséget javított ki a Print Spoolerrel kapcsolatban" - mondta Walters. „A CVE-2022-44678 kockázata ugyanaz: a támadó RENDSZER jogosultságokat kaphat a sikeres kihasználás után - de csak helyben.”
Zavarba ejtő hibaszám
Érdekes módon több gyártó eltérően értékelte a Microsoft ebben a hónapban kijavított sebezhetőségeinek számát. A ZDI például úgy értékelte, hogy a Microsoft 52 sebezhetőséget javított ki; Talos a számot 48-ra, a SANS 74-re rögzítette, az Action1 pedig kezdetben a 74-et javította a Microsoft, majd 52-re módosította.
Johannes Ullrich, a SANS Technology Institute kutatási dékánja szerint a probléma a sebezhetőségek számbavételének különböző módjaival kapcsolatos. Egyesek például a Chromium sebezhetőségeit is tartalmazzák, míg mások nem.
Mások, például a SANS, szintén tartalmaznak biztonsági tanácsokat, amelyek néha sebezhetőségként kísérik a Microsoft frissítéseit. A Microsoft néha a hónap folyamán is kiad javításokat, amelyeket a következő javítási keddi frissítésben is tartalmaz, és egyes kutatók nem számolják ezeket.
"A javítások száma néha zavaró lehet, mivel a Patch Kedd ciklus technikailag novembertől decemberig tart, így ez magában foglalja azokat a javításokat is, amelyeket a hónap elején adtak ki a sávon kívül, és tartalmazhatnak harmadik féltől származó frissítéseket is" - mondja Breen. . „A legfigyelemreméltóbbak ezek közül a Google javításai a Chromiumból, amely a Microsoft Edge böngészőjének alapja.”
Breen szerint 74 sebezhetőséget javítottak ki a legutóbbi novemberi javítási kedd óta. Ez 51-et tartalmaz a Microsofttól és 23-at a Google-tól az Edge böngészőhöz.
„Ha a sávon kívüli és a Google Chromium javításokat is kizárjuk, ma 49 sebezhetőségi javítást adtak ki” – mondja.
A Microsoft szóvivője szerint az új CVE-k száma, amelyekhez a cég ma 48 javítást adott ki.
