Emlékezz ezekre Cserélje a nulladik napot ami még 2022 szeptemberében jelent meg a nyilvánosság lángjai között?
Ezeket a hibákat és az ezeken alapuló támadásokat szellemesen, de félrevezetően nevezték el ProxyNotShell mert az érintett sérülékenységek emlékeztettek a ProxyShell Az Exchange biztonsági hibája, amely 2021 augusztusában jelent meg.
Szerencsére a ProxyShell-lel ellentétben az új hibákat senki sem tudta közvetlenül kihasználni, akinek volt internetkapcsolata és félreérthető a kiberbiztonsági kalandja.
Ezúttal hitelesített kapcsolatra volt szüksége, ami általában azt jelenti, hogy először meg kellett szereznie vagy helyesen kitalálnia egy meglévő felhasználó e-mail jelszavát, majd szándékosan meg kellett próbálnia bejelentkezni ott, ahol tudta, hogy nem kellett volna. bármilyen „kutatás”, amely „segíti” a szerver rendszergazdáit a munkájukban:
Kattintson és húzza az alábbi hanghullámokat, hogy bármelyik pontra ugorjon. Te is hallgatni közvetlenül a Soundcloudon.
Félretéve azt gyanítjuk, hogy a több ezer önjelölt „kiberbiztonsági kutató” közül sokan, akik szívesen vizsgálgatták mások szervereit „szórakoztatásból”, amikor a Log4Shell és a ProxyShell hibák nagy divat volt, tudták, hogy visszaeshetnek az ártatlanság vélelme, ha elkapják és kritizálják. De gyanítjuk, hogy kétszer is meggondolták, mielőtt elkapták, hogy ténylegesen olyan felhasználóknak adják ki magukat, akikről tudták, hogy nem azok, és megpróbáltak hozzáférni a szerverekhez olyan fiókok fedezete alatt, amelyekről tudtak, hogy nem engedélyezettek, majd visszatértek a „mi csak voltunk. próbál segíteni” mentség.
Szóval, bár mi remélte hogy a Microsoft gyors, sávon kívüli megoldással állna elő, mi nem tettük vár egy…
…és ezért feltételeztük, valószínűleg a legtöbb Naked Security olvasóval együtt, hogy a javítások nyugodtan és sietve megérkeznek a 2022. októberi javítási kedden, még több mint két hét múlva.
Végtére is, a kiberbiztonsági javítások rohanása kicsit olyan, mintha ollóval futnánk vagy a létra legfelső fokát használnánk: van mód arra, hogy biztonságosan megtehessük, ha valóban muszáj, de jobb, ha teljesen elkerüljük, ha lehet.
Azonban a foltok nem jelent meg a Patch Tuesdány sem, enyhe meglepetésünkre, bár annyira biztosak voltunk benne, hogy a javítások legkésőbb a 2022. novemberi Patch Kedden megjelennek:
A patch kedd röviden – egy 0 napos javítás, de nincs javítás az Exchange-hez!
Érdekes módon ismét tévedtünk (legalábbis szigorúan véve): a ProxyNotShell patch-nek nem sikerült bele Novemberi patch kedd, de befoltozták őket on Patch kedd, helyette egy sorozatban érkezik Exchange biztonsági frissítések (SU-k) ugyanazon a napon:
A 2022. novemberi [Exchange] SU-k elérhetők az [Exchange 2013, 2016 és 2019] számára.
Mivel tudatában vagyunk a kapcsolódó sebezhetőségek aktív kihasználásának (korlátozott célzott támadások), azt javasoljuk, hogy azonnal telepítse ezeket a frissítéseket, hogy megvédje magát ezekkel a támadásokkal szemben.
A 2022. novemberi SU-k javításokat tartalmaznak a 29. szeptember 2022-én nyilvánosan bejelentett nulladik napi sebezhetőségekhez (CVE-2022-41040 és CVE-2022-41082).
Ezek a biztonsági rések az Exchange Servert érintik. Az Exchange Online ügyfelei már védve vannak az ezekben az SU-kban kijavított sebezhetőségekkel szemben, és nem kell mást tenniük, mint frissíteni a környezetükben lévő Exchange-kiszolgálókat.
Feltételezzük, hogy ezek a javítások nem részei a szokásos Patch Kedd mechanizmusnak, mert a Microsoft nem CU-nak nevezi őket összesített frissítések.
Ez azt jelenti, hogy először meg kell győződnie arról, hogy a jelenlegi Exchange-telepítés elég naprakész ahhoz, hogy elfogadja az új javításokat, és az előkészítési folyamat kissé eltér attól függően, hogy melyik Exchange-verziója van.
Még 62 lyuk, 4 új nulladik nap
Nem ezek a régi Exchange-hibák voltak az egyetlen nulla napos folt a javítás kedden.
A Windows rendszeres javítási keddi frissítései további 62 biztonsági rést küszöbölnek ki, amelyek közül négy olyan hiba, amelyet először ismeretlen támadók találtak meg, és amelyeket már nem titkolt célokra kihasználnak. nulla nap röviden.
(Nulla mert nulla nap volt, amikor a javításokat a csalók előtt alkalmazhatta volna, függetlenül attól, hogy milyen gyorsan telepíti a frissítéseket.)
Gyorsan összefoglaljuk ezt a négy nulladik napi hibát; mind a 62 sebezhetőség részletesebb leírásához, valamint a hibák általános eloszlására vonatkozó statisztikákhoz, kérjük, tekintse meg a A SophosLabs jelentése a Sophos News testvéroldalunkon:
A Microsoft 62 biztonsági rést javít ki, köztük a Kerberost, a Mark of the Webet és az Exchange-et…
Az e havi javítási keddi javításokban rögzített nulla napok száma:
- CVE-2022 41128-: Windows Scripting Languages távoli kódvégrehajtással kapcsolatos biztonsági rés. A cím mindent elárul: a távoli webhelyről származó, csapdába esett szkriptek kiszabadulhatnak a homokozóból, amely állítólag ártalmatlanná teszi őket, és a támadó által választott kódot futtathatnak. Ez jellemzően azt jelenti, hogy még egy jól tájékozott felhasználó is, aki csak megtekint egy weboldalt egy csapdába esett szerveren, a számítógépére lopva rosszindulatú program kerülhet anélkül, hogy bármilyen letöltési hivatkozásra kattintana, felugró ablakot látna vagy átkattintott volna. biztonsági figyelmeztetések. Úgy tűnik, ez a hiba a Microsoft régi verziójában létezik
Jscript9JavaScript-motor, amelyet már nem használnak az Edge-ben (amely a Google V8 JavaScript-rendszerét használja), de más Microsoft-alkalmazások továbbra is használják, beleértve a régi Internet Explorer böngészőt is. - CVE-2022 41073-: Windows Print Spooler Elevation of Privilege Sebezhetőség. A nyomtatási spoolerek számos különböző program és felhasználó, sőt távoli számítógépek nyomtatókimenetének rögzítésére szolgálnak, majd rendezett módon eljuttatják a kívánt eszközre, még akkor is, ha a nyomtatáskor kifogyott a papír, vagy már elfoglalt volt. kinyomtatni valaki másnak egy hosszadalmas munkát. Ez általában azt jelenti, hogy a spoolerek programozásilag összetettek, és rendszerszintű jogosultságokat igényelnek, hogy „tárgyalóként” működhessenek a jogosulatlan felhasználók és a nyomtató hardvere között. A Windows Printer Spooler a helyileg mindenhatót használja
SYSTEMfiók, és ahogy a Microsoft közleményében megjegyzi: "A biztonsági rést sikeresen kihasználó támadó RENDSZER-jogosultságokat szerezhet." - CVE-2022 41125-: Windows CNG Key Isolation Service Elevation of Privilege Sebezhetőség. A fenti Print Spooler hibához hasonlóan a támadóknak, akik ezt a lyukat akarják kihasználni, először meg kell szerezniük a lábukat a rendszeren. De még akkor is, ha rendszeres felhasználóként vagy vendégként jelentkeznek be, rendszergazda-szerű képességekre tehetnek szert, ha átkúsznak ezen a biztonsági résen. Ironikus módon ez a hiba egy speciálisan védett folyamatban található, amely az úgynevezett Windows LSA (helyi rendszerhatóság), ami állítólag megnehezíti a támadók számára a gyorsítótárazott jelszavak és kriptográfiai kulcsok rendszermemóriából való kinyerését. Feltételezzük, hogy a hiba kihasználása után a támadók képesek lesznek megkerülni azt a biztonságot, amelyet magának a Key Isolation Service-nek kellene nyújtania, valamint megkerülni a számítógép legtöbb egyéb biztonsági beállítását.
- CVE-2022 41091-: A Windows Web Security Feature Bypass biztonsági résének jelölése. A Microsoft MoTW (a web jele) a cég aranyos neve annak, amit korábban egyszerűen csak úgy ismertek Internet zónák: a letöltött fájllal együtt mentett „adatcímke”, amely rögzíti, hogy a fájl eredetileg honnan származik. A Windows ezután automatikusan ennek megfelelően módosítja a biztonsági beállításait, amikor később használja a fájlt. Nevezetesen, az e-mail mellékletekből mentett, vagy a cégen kívülről lekért Office fájlok automatikusan megnyílnak ún Védett megtekintése alapértelmezés szerint blokkolja a makrókat és más potenciálisan veszélyes tartalmakat. Egyszerűen fogalmazva, ez a kizsákmányolás azt jelenti, hogy a támadó ráveheti a Windows rendszert, hogy elmentse a nem megbízható fájlokat anélkül, hogy megfelelően rögzítené, honnan származnak, így Önt vagy kollégáit veszélynek teszik ki, amikor később megnyitja vagy megosztja ezeket a fájlokat.
Mit kell tenni?
- Patch Early / Patch gyakran. Mert te tudsz.
- Ha rendelkezik helyszíni Exchange-kiszolgálókkal, ne felejtsd el őket is javítani, mert a fent leírt Exchange 0 napos javítások nem jelennek meg a szokásos Patch Tuesday frissítési folyamat részeként.
- Olvassa el a Sophos News cikkét mert további információ a többi 58 Patch Tuesday javításon, amelyre itt kifejezetten nem térünk ki.
- Ne késlekedj/Tedd meg még ma. Mivel a hibajavítások közül négy újonnan feltárt nulladik napon már visszaéltek az aktív támadók.
- 0 nap
- blockchain
- coingenius
- cryptocurrency pénztárcák
- titkosítás
- kiberbiztonság
- kiberbűnözők
- Kiberbiztonság
- belbiztonsági osztály
- digitális pénztárcák
- csere
- Exploit
- tűzfal
- Kaspersky
- malware
- McAfee
- microsoft
- Meztelen biztonság
- NexBLOC
- folt kedd
- Plató
- plato ai
- Platón adatintelligencia
- Platón játék
- PlatoData
- platogaming
- magánélet
- VPN
- sebezhetőség
- A honlap biztonsága
- zephyrnet
- Nulla nap
![S3 Ep103: Scammers in the Slammer (és más történetek) [Hang + szöveg] PlatoBlockchain Data Intelligence. Függőleges keresés. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/s3-ep103-cover-1200-360x188.png "S3 Ep103: Scammers in the Slammer (és más történetek) [Hang + szöveg]")
