Az októberi javítás keddi frissítéséhez a Microsoft egy kritikus biztonsági rést orvosolt az Azure felhőszolgáltatásában, amely a CVSS sebezhetőség-súlyossági skáláján ritka, 10-ből 10-es besorolást kapott.
A technológiai óriás emellett befoltozott két „fontos” besorolású nulladik napi hibát is, amelyek közül az egyiket aktívan kihasználják a vadonban; és lehet, hogy van egy harmadik probléma is, a SharePointban, amelyet szintén aktívan kihasználnak.
Figyelemre méltó azonban, hogy a Microsoft nem adott ki javításokat a kettőre javítatlan Exchange Server nulladik napi hibái amelyre szeptember végén derült fény.
Összesen októberben a Microsoft 85 CVE-hez adott ki javításokat, köztük 15 kritikus hibát. Az érintett termékek a szokásos módon a termékportfólió skáláját futják: Microsoft Windows és Windows Components; Azure, Azure Arc és Azure DevOps; Microsoft Edge (Chromium-alapú); Irodai és irodai alkatrészek; Visual Studio Code; Active Directory tartományi szolgáltatások és Active Directory tanúsítványszolgáltatások; Nu Get Client; Hyper-V; és a Windows Resilient File System (ReFS).
Ezek a Microsoft Edge (Chromium-alapú) 11 javítása mellett, valamint a hónap elején megjelent ARM processzorok oldalcsatornás spekulációinak javítása.
A Perfect 10: Ritka Ultra-Critical Vuln
A 10-ből 10 hiba (CVE-2022 37968-) egy jogosultságnövelési (EoP) és távoli kódvégrehajtási (RCE) probléma, amely lehetővé teheti a nem hitelesített támadók számára, hogy adminisztratív irányítást szerezzenek az Azure Arc-kompatibilis Kubernetes-fürtök felett; az Azure Stack Edge-eszközöket is érintheti.
Míg a kibertámadóknak ismerniük kell a véletlenszerűen generált DNS-végpontot egy Azure Arc-kompatibilis Kubernetes-fürt sikeres működéséhez, a kiaknázásnak nagy hozadéka van: felemelhetik a fürt adminisztrátori jogosultságait, és esetleg átvehetik az irányítást a Kubernetes-fürt felett.
"Ha ilyen típusú konténereket használ 1.5.8-nál, 1.6.19-nél, 1.7.18-nál és 1.8.11-nél régebbi verziókkal, és ezek elérhetők az internetről, azonnal frissítse." fenyegetéskutatás az Action1-nél, e-mailben figyelmeztették.
Egy pár (talán egy hármas) nulladik napi foltokból – de nem AZOKAT
Megerősítették, hogy az új nulladik nap aktív kihasználás alatt áll (CVE-2022 41033-) a Windows COM+ Event System Service EoP biztonsági rése. 7.8 CVSS-pontszámmal rendelkezik.
A Windows COM+ Event System Service alapértelmezés szerint az operációs rendszerrel együtt indul el, és felelős a bejelentkezésekről és kijelentkezésekről szóló értesítések biztosításáért. A Windows 7-től és a Windows Server 2008-tól kezdődően a Windows összes verziója sebezhető, és egy egyszerű támadás RENDSZER-jogosultságok megszerzéséhez vezethet - figyelmeztettek a kutatók.
„Mivel ez egy privilégium-eszkalációs hiba, valószínűleg más kódvégrehajtási exploitokkal párosul, amelyek célja a rendszer átvétele” – jegyezte meg Dustin Childs, a Zero Day Initiative (ZDI) munkatársa. elemzés ma. „Az ilyen típusú támadások gyakran magukban foglalnak valamilyen társadalmi manipulációt, például arra késztetik a felhasználót, hogy nyisson meg egy mellékletet vagy böngésszen egy rosszindulatú webhelyre. A szinte folyamatos adathalászat elleni képzés ellenére, különösen a "A kiberbiztonsági tudatosság hónapja", az emberek hajlamosak mindenre kattintani, ezért gyorsan tesztelje és telepítse ezt a javítást."
Satnam Narang, a Tenable vezető kutatómérnöke egy e-mailben elküldött összefoglalójában megjegyezte, hogy a hitelesített támadó speciálisan kialakított alkalmazást futtathat a hiba kihasználása és a RENDSZER jogosultságainak növelése érdekében.
„Míg a jogosultságok növeléséhez szükséges sebezhetőségek megkövetelik a támadótól, hogy más módon férhessen hozzá a rendszerhez, ezek továbbra is értékes eszközt jelentenek a támadók eszköztárában, és az e havi javítási kedden nincs hiány a jogosultság-emelési hibákból, mivel a Microsoft kijavította a 39. , ami a kijavított hibák közel felét (46.4%) teszi ki” – mondta.
Az Action1 Walters szerint ennek a konkrét EoP-problémának a javítási sor élére kell kerülnie.
„Az újonnan kiadott javítás telepítése kötelező; ellenkező esetben a támadó, aki bejelentkezett egy vendég vagy közönséges felhasználó számítógépére, gyorsan RENDSZER-jogosultságokat szerezhet azon a rendszeren, és szinte bármit megtehet vele” – írta egy e-mailben elküldött elemzésében. "Ez a sérülékenység különösen fontos azoknak a szervezeteknek, amelyek infrastruktúrája Windows Serverre támaszkodik."
A másik megerősített nyilvánosan ismert hiba (CVE-2022 41043-) egy információközlési probléma a Microsoft Office for Mac rendszerben, amelynek alacsony, 4-ből 10 CVSS-kockázati besorolása van.
Waters egy másik potenciálisan kihasznált nulladik napra mutatott rá: távoli kódvégrehajtási (RCE) problémára a SharePoint Serverben (CVE-2022 41036-, CVSS 8.8), amely a SharePoint 2013 Service Pack 1-től kezdődő összes verziót érinti.
"Hálózati alapú támadások esetén a listakezelési engedéllyel rendelkező hitelesített ellenfél távolról futtathat kódot a SharePoint Serveren, és adminisztrátori jogosultságokat szerezhet" - mondta.
A legfontosabb az, hogy „a Microsoft jelentése szerint valószínűleg már létrehoztak egy exploitot, amelyet hackercsoportok használnak, de erre még nincs bizonyíték” – mondta. "Mindazonáltal érdemes komolyan venni ezt a sérülékenységet, ha rendelkezik az internetre nyitott SharePoint Serverrel."
Nincsenek ProxyNotShell javítások
Meg kell jegyezni, hogy ez nem az a két nulladik napi folt, amelyet a kutatók vártak; ezek a hibák, CVE-2022-41040 és CVE-2022-41082, más néven ProxyNotShell, cím nélkül marad. Összeláncolva engedélyezhetik az RCE-t az Exchange szervereken.
„Érdekesebb lehet, hogy mi nem szerepel az e havi kiadásban. Nincsenek frissítések az Exchange Serverhez, annak ellenére, hogy két Exchange-hibát legalább két hétig aktívan kihasználtak” – írta Childs. „Ezeket a hibákat a ZDI vásárolta meg szeptember elején, és akkor jelentette be a Microsoftnak. Mivel nem állnak rendelkezésre frissítések ezeknek a hibáknak a teljes kiküszöbölésére, a rendszergazdák a legjobb, amit tehetnek, ha gondoskodnak a szeptemberi … kumulatív frissítés (CU) telepítéséről.”
„A nagy remények ellenére, hogy a mai javítási keddi kiadás tartalmazza majd a biztonsági rések javítását, az Exchange Server szembetűnően hiányzik a 2022. októberi biztonsági frissítések kezdeti listájáról” – mondja Caitlin Condon, a Rapid7 sebezhetőségi kutatásért felelős vezető menedzsere. "A Microsoft által javasolt szabályt az ismert támadási minták blokkolására többször megkerülték, hangsúlyozva a valódi javítás szükségességét."
Szeptember elejéig a Rapid7 Labs 191,000 443 potenciálisan sebezhető Exchange Server-példányt figyelt meg, amelyek a XNUMX-as porton keresztül kerültek az internetre, teszi hozzá. Azonban ellentétben a ProxyShell
és a ProxyLogon
exploit láncok esetén ez a hibacsoport megköveteli a támadótól, hogy hitelesített hálózati hozzáféréssel rendelkezzen a sikeres kihasználáshoz.
"Eddig a támadások korlátozottak és célzottak maradtak" - mondja, és hozzáteszi: "Ez nem valószínű, hogy folytatódni fog, ahogy telik az idő, és a fenyegetés szereplőinek egyre több lehetőségük lesz hozzáférést szerezni és kizsákmányolni a láncokat. Szinte biztos, hogy további, hitelesítés utáni sebezhetőségeket fogunk kiadni a következő hónapokban, de az igazi aggodalom az lenne, hogy a hitelesítés nélküli támadási vektor felbukkanjon, amikor az informatikai és biztonsági csapatok végrehajtják az év végi kódlefagyásokat.”
Az adminisztrátorok vegye figyelembe: Egyéb hibák, amelyeket prioritásként kell kezelni
Ami az egyéb fontosabb problémákat illeti, a ZDI's Childs két Windows Client Server Run-time Subsystem (CSRSS) EoP-hibát jelölt meg CVE-2022 37987-
és a CVE-2022 37989-
(mindkettő 7.8 CVSS).
„A CVS-2022-37989 egy sikertelen javítás a CVE-2022-22047-hez, egy korábbi hibához, amely némi in-the-wild kizsákmányolást tapasztalt” – magyarázta. „Ez a sérülékenység abból adódik, hogy a CSRSS túlságosan elnézően fogadja el a nem megbízható folyamatoktól származó inputokat. Ezzel szemben a CVE-2022-37987 egy új támadás, amely a CSRSS megtévesztésével függőségi információkat tölt be nem biztonságos helyről.”
Szintén figyelemre méltó: Greg Wiseman, a Rapid7 termékmenedzsere szerint kilenc, kritikus súlyosságú RCE-hibának minősített CVE-t is kijavítottak ma, és ezek közül hét érinti a Point-to-Point Tunneling Protocolt. „[Ezekhez] egy támadónak versenyfeltételt kell nyernie ahhoz, hogy kihasználhassa őket” – jegyezte meg e-mailben.
Az Automox kutatója, Jay Goodman hozzáteszi, hogy CVE-2022 38048- (CVSS 7.8) az Office összes támogatott verzióját érinti, és lehetővé teheti a támadó számára, hogy átvegye az irányítást a rendszer felett, „ahol szabadon telepíthet programokat, tekinthet meg vagy módosíthat adatokat, vagy új fiókokat hozhat létre a célrendszeren teljes felhasználói jogokkal. .” Bár a sérülékenység kihasználásának valószínűsége kisebb, a Microsoft szerint a támadás összetettsége alacsony.
És végül Gina Geisel, szintén az Automox kutatója figyelmeztet erre CVE-2022 38028-
(CVSS 7.8), a Windows Print Spooler EoP hibája, mint alacsony jogosultságokkal rendelkező és alacsony összetettségű biztonsági rés, amely nem igényel felhasználói beavatkozást.
„A támadónak be kell jelentkeznie az érintett rendszerre, és le kell futtatnia egy speciálisan kialakított szkriptet vagy alkalmazást a rendszerjogosultság megszerzéséhez” – jegyzi meg. „Példák ezekre a támadójogokra: programok telepítése; adatok módosítása, módosítása és törlése; új fiókok létrehozása teljes felhasználói jogokkal; és oldalirányban mozog a hálózatokon.”
