Untuk pembaruan Patch Tuesday Oktober, Microsoft membahas kerentanan keamanan kritis dalam layanan cloud Azure-nya, membawa peringkat 10-dari-10 yang langka pada skala kerentanan-keparahan CVSS.
Raksasa teknologi itu juga menambal dua bug zero-day yang dinilai "penting", salah satunya dieksploitasi secara aktif di alam liar; dan selanjutnya, mungkin ada masalah ketiga, di SharePoint, yang juga dieksploitasi secara aktif.
Khususnya, bagaimanapun, Microsoft tidak mengeluarkan perbaikan untuk keduanya bug zero-day Exchange Server yang belum ditambal yang terungkap pada akhir September.
Secara keseluruhan untuk bulan Oktober, Microsoft merilis patch untuk 85 CVE, termasuk 15 bug kritis. Produk yang terpengaruh menjalankan keseluruhan portofolio produk seperti biasa: Komponen Microsoft Windows dan Windows; Azure, Azure Arc, dan Azure DevOps; Microsoft Edge (berbasis Chromium); Kantor dan Komponen Kantor; Kode Visual Studio; Layanan Domain Direktori Aktif dan Layanan Sertifikat Direktori Aktif; Nu Dapatkan Klien; Hyper-V; dan Windows Resilient File System (ReFS).
Ini adalah tambahan untuk 11 patch untuk Microsoft Edge (berbasis Chromium) dan patch untuk spekulasi saluran samping di prosesor ARM yang dirilis awal bulan ini.
A Perfect 10: Vuln Ultra-Kritis Langka
Bug 10 dari 10 (CVE-2022-37968) adalah masalah elevasi hak istimewa (EoP) dan eksekusi kode jarak jauh (RCE) yang memungkinkan penyerang yang tidak diautentikasi untuk mendapatkan kontrol administratif atas kluster Kubernetes yang mendukung Azure Arc; itu juga dapat memengaruhi perangkat Azure Stack Edge.
Sementara penyerang siber perlu mengetahui titik akhir DNS yang dibuat secara acak agar klaster Kubernetes berkemampuan Azure Arc berhasil, eksploitasi memiliki hasil yang besar: Mereka dapat meningkatkan hak istimewa mereka ke admin klaster dan berpotensi mendapatkan kendali atas klaster Kubernetes.
โJika Anda menggunakan kontainer jenis ini dengan versi lebih rendah dari 1.5.8, 1.6.19, 1.7.18, dan 1.8.11 dan tersedia dari Internet, segera perbarui,โ Mike Walters, wakil presiden kerentanan dan penelitian ancaman di Action1, memperingatkan melalui email.
Sepasang (Mungkin Triad) Patch Zero-Day โ tetapi Bukan Patch MEREKA
Zero-day baru dikonfirmasi berada di bawah eksploitasi aktif (CVE-2022-41033) adalah kerentanan EoP di Layanan Sistem Peristiwa Windows COM+. Ini membawa skor CVSS 7.8.
Layanan Sistem Peristiwa Windows COM+ diluncurkan secara default dengan sistem operasi dan bertanggung jawab untuk memberikan pemberitahuan tentang masuk dan keluar. Semua versi Windows dimulai dengan Windows 7 dan Windows Server 2008 rentan, dan serangan sederhana dapat menyebabkan mendapatkan hak istimewa SISTEM, para peneliti memperingatkan.
โKarena ini adalah bug eskalasi hak istimewa, kemungkinan dipasangkan dengan eksploitasi eksekusi kode lain yang dirancang untuk mengambil alih sistem,โ Dustin Childs, dari Zero Day Initiative (ZDI), mencatat dalam sebuah analisis hari ini. โJenis serangan ini sering melibatkan beberapa bentuk rekayasa sosial, seperti membujuk pengguna untuk membuka lampiran atau menelusuri situs web jahat. Meskipun pelatihan anti-phishing hampir konstan, terutama selama 'Bulan Kesadaran Keamanan Cyber,' orang cenderung mengklik semuanya, jadi uji dan terapkan perbaikan ini dengan cepat.โ
Satnam Narang, insinyur penelitian staf senior di Tenable, mencatat dalam rekap email bahwa penyerang yang diautentikasi dapat menjalankan aplikasi yang dibuat khusus untuk mengeksploitasi bug dan meningkatkan hak istimewa ke SISTEM.
โMeskipun peningkatan kerentanan hak istimewa mengharuskan penyerang untuk mendapatkan akses ke sistem melalui cara lain, mereka masih merupakan alat yang berharga di kotak alat penyerang, dan Patch Tuesday bulan ini tidak kekurangan kekurangan peningkatan hak istimewa, karena Microsoft menambal 39 , terhitung hampir setengah dari bug yang ditambal (46.4%),,โ katanya.
Masalah EoP khusus ini harus menjadi ujung tombak untuk menambal, menurut Walters dari Action1.
โMenginstal patch yang baru dirilis adalah wajib; jika tidak, penyerang yang masuk ke komputer tamu atau pengguna biasa dapat dengan cepat mendapatkan hak istimewa SISTEM pada sistem itu dan dapat melakukan hampir semua hal dengannya, โtulisnya, dalam analisis yang dikirim melalui email. โKerentanan ini sangat signifikan untuk organisasi yang infrastrukturnya bergantung pada Windows Server.โ
Bug lain yang diketahui publik (CVE-2022-41043) adalah masalah pengungkapan informasi di Microsoft Office untuk Mac yang memiliki peringkat risiko CVSS rendah hanya 4 dari 10.
Waters menunjuk ke zero-day lain yang berpotensi dieksploitasi: masalah eksekusi kode jarak jauh (RCE) di SharePoint Server (CVE-2022-41036, CVSS 8.8) yang memengaruhi semua versi yang dimulai dengan SharePoint 2013 Paket Layanan 1.
โDalam serangan berbasis jaringan, musuh yang diautentikasi dengan izin Kelola Daftar dapat mengeksekusi kode dari jarak jauh di Server SharePoint dan meningkatkan ke izin administratif,โ katanya.
Yang paling penting, "Microsoft melaporkan bahwa eksploitasi kemungkinan telah dibuat dan digunakan oleh kelompok peretas, tetapi belum ada buktinya," katanya. โNamun demikian, kerentanan ini perlu ditanggapi dengan serius jika Anda memiliki Server SharePoint yang terbuka untuk internet.โ
Tidak Ada Patch ProxyNotShell
Perlu dicatat bahwa ini bukan dua patch zero-day yang diharapkan para peneliti; bug tersebut, CVE-2022-41040 dan CVE-2022-41082, juga dikenal sebagai ProxyNotShell, tetap tidak tertangani. Saat dirantai bersama, mereka dapat mengizinkan RCE di Exchange Server.
โYang mungkin lebih menarik adalah apa yang tidak termasuk dalam rilis bulan ini. Tidak ada pembaruan untuk Exchange Server, meskipun dua bug Exchange dieksploitasi secara aktif setidaknya selama dua minggu, โtulis Childs. โBug ini dibeli oleh ZDI pada awal September dan dilaporkan ke Microsoft pada saat itu. Tanpa pembaruan yang tersedia untuk sepenuhnya mengatasi bug ini, administrator terbaik yang dapat dilakukan adalah memastikan September โฆ Pembaruan Kumulatif (CU) diinstal.โ
โMeskipun sangat berharap bahwa rilis Patch Tuesday hari ini akan berisi perbaikan untuk kerentanan, Exchange Server secara mencolok hilang dari daftar awal pembaruan keamanan Oktober 2022,โ kata Caitlin Condon, manajer senior untuk penelitian kerentanan di Rapid7. โAturan yang direkomendasikan Microsoft untuk memblokir pola serangan yang diketahui telah dilewati beberapa kali, menekankan perlunya perbaikan yang sebenarnya.โ
Pada awal September, Rapid7 Labs mengamati hingga 191,000 contoh Exchange Server yang berpotensi rentan yang terpapar ke Internet melalui port 443, tambahnya. Namun, tidak seperti ProxyShell
dan ProksiLogon
mengeksploitasi rantai, kelompok bug ini mengharuskan penyerang memiliki akses jaringan yang diautentikasi untuk eksploitasi yang berhasil.
โSejauh ini, serangan tetap terbatas dan ditargetkan,โ katanya, menambahkan, โItu tidak mungkin berlanjut seiring berjalannya waktu dan pelaku ancaman memiliki lebih banyak kesempatan untuk mendapatkan akses dan mengasah rantai eksploitasi. Kami hampir pasti akan melihat kerentanan pasca-otentikasi tambahan yang dirilis dalam beberapa bulan mendatang, tetapi kekhawatiran sebenarnya adalah vektor serangan yang tidak diautentikasi yang muncul saat tim TI dan keamanan menerapkan pembekuan kode akhir tahun.โ
Admin Perhatikan: Bug Lain yang Harus Diprioritaskan
Sejauh masalah lain untuk diprioritaskan, ZDI's Childs menandai dua bug EoP Windows Client Server Run-time Subsystem (CSRSS) yang dilacak sebagai CVE-2022-37987
dan CVE-2022-37989
(keduanya 7.8 CVSS).
โCVS-2022-37989 adalah patch yang gagal untuk CVE-2022-22047, bug sebelumnya yang melihat beberapa eksploitasi di alam liar,โ jelasnya. โKerentanan ini diakibatkan oleh CSRSS yang terlalu lunak dalam menerima masukan dari proses yang tidak dipercaya. Sebaliknya, CVE-2022-37987 adalah serangan baru yang bekerja dengan menipu CSRSS untuk memuat informasi ketergantungan dari lokasi yang tidak aman.โ
Juga penting: Sembilan CVE yang dikategorikan sebagai bug RCE dengan tingkat keparahan kritis juga ditambal hari ini, dan tujuh di antaranya memengaruhi Protokol Tunneling Point-to-Point, menurut Greg Wiseman, manajer produk di Rapid7. โ[Ini] membutuhkan penyerang untuk memenangkan kondisi balapan untuk mengeksploitasi mereka,โ katanya melalui email.
Peneliti Automox Jay Goodman menambahkan bahwa CVE-2022-38048 (CVSS 7.8) mempengaruhi semua versi Office yang didukung, dan mereka dapat mengizinkan penyerang untuk mengendalikan sistem โdi mana mereka akan bebas menginstal program, melihat atau mengubah data, atau membuat akun baru di sistem target dengan hak pengguna penuh. .โ Meskipun kerentanannya kecil kemungkinannya untuk dieksploitasi, menurut Microsoft, kompleksitas serangannya tergolong rendah.
Dan akhirnya, Gina Geisel, juga seorang peneliti Automox, memperingatkan bahwa CVE-2022-38028
(CVSS 7.8), bug EoP Windows Print Spooler, sebagai kerentanan hak istimewa dan kompleksitas rendah yang tidak memerlukan interaksi pengguna.
โSeorang penyerang harus masuk ke sistem yang terpengaruh dan menjalankan skrip atau aplikasi yang dibuat khusus untuk mendapatkan hak istimewa sistem,โ catatnya. โContoh hak istimewa penyerang ini termasuk menginstal program; memodifikasi, mengubah, dan menghapus data; membuat akun baru dengan hak pengguna penuh; dan bergerak secara lateral di sekitar jaringan.โ
