Ingat itu Bertukar nol hari yang muncul dalam kobaran publisitas pada September 2022?
Kelemahan itu, dan serangan yang didasarkan padanya, dijuluki dengan cerdik tetapi menyesatkan ProxyNotShell karena kerentanan yang terlibat mengingatkan pada ProxyShell kelemahan keamanan di Exchange yang menjadi berita pada Agustus 2021.
Untungnya, tidak seperti ProxyShell, bug baru tidak dapat dieksploitasi secara langsung oleh siapa pun yang memiliki koneksi internet dan rasa petualangan keamanan siber yang salah kaprah.
Kali ini, Anda memerlukan koneksi yang diautentikasi, biasanya berarti bahwa Anda pertama-tama harus mendapatkan atau menebak dengan benar kata sandi email pengguna yang ada, lalu melakukan upaya yang disengaja untuk masuk di tempat yang Anda tahu tidak seharusnya, sebelum Anda dapat melakukan setiap "penelitian" untuk "membantu" sysadmin server dengan pekerjaan mereka:
Klik-dan-tarik gelombang suara di bawah untuk melompat ke titik mana pun. Anda juga bisa dengarkan langsung di Soundcloud.
Selain itu, kami menduga bahwa banyak dari ribuan "peneliti keamanan dunia maya" gadungan yang dengan senang hati menyelidiki server orang lain "untuk bersenang-senang" ketika bug Log4Shell dan ProxyShell sangat populer sehingga mengetahui bahwa mereka dapat mundur. praduga tidak bersalah jika tertangkap dan dikritik. Namun kami menduga bahwa mereka berpikir dua kali sebelum ketahuan berpura-pura menjadi pengguna yang mereka tahu bukan, mencoba mengakses server dengan menyamar sebagai akun yang mereka tahu seharusnya terlarang, dan kemudian kembali ke "kami hanya mencoba untuk membantu” permisi.
Jadi, meskipun kita berharap bahwa Microsoft akan membuat perbaikan cepat dan out-of-band, kami tidak melakukannya mengharapkan satu…
…dan oleh karena itu kami berasumsi, mungkin sama dengan sebagian besar pembaca Keamanan Telanjang, bahwa tambalan akan tiba dengan tenang dan tidak tergesa-gesa sebagai bagian dari Patch Selasa Oktober 2022, masih lebih dari dua minggu lagi.
Lagi pula, mempercepat perbaikan keamanan siber sedikit mirip dengan berlari dengan gunting atau menggunakan anak tangga paling atas: ada cara untuk melakukannya dengan aman jika Anda benar-benar harus melakukannya, tetapi lebih baik hindari melakukannya sama sekali jika Anda bisa.
Namun, tambalan tidak muncul di Patch Tuesday baik, memang sedikit mengejutkan kami, meskipun kami merasa yakin bahwa perbaikan akan muncul paling lambat pada Patch Selasa November 2022:
Patch Selasa secara singkat – satu 0 hari diperbaiki, tetapi tidak ada patch untuk Exchange!
Menariknya, kami salah lagi (tegasnya, setidaknya): itu ProxyNotShell tambalan tidak berhasil ke November's Patch Tuesday, tapi mereka sudah ditambal on Patch Tuesday, tiba sebagai gantinya dalam serangkaian Pertukaran Pembaruan Keamanan (SU) dirilis pada hari yang sama:
SU [Exchange] November 2022 tersedia untuk [Exchange 2013, 2016, dan 2019].
Karena kami mengetahui eksploit aktif dari kerentanan terkait (serangan bertarget terbatas), rekomendasi kami adalah segera menginstal pembaruan ini agar terlindung dari serangan ini.
SU November 2022 berisi perbaikan untuk kerentanan zero-day yang dilaporkan secara publik pada 29 September 2022 (CVE-2022-41040 dan CVE-2022-41082).
Kerentanan ini memengaruhi Exchange Server. Pelanggan Exchange Online sudah terlindungi dari kerentanan yang dibahas dalam SU ini dan tidak perlu melakukan tindakan apa pun selain memperbarui server Exchange apa pun di lingkungannya.
Kami menduga bahwa perbaikan ini bukan bagian dari mekanisme Patch Tuesday reguler karena bukan apa yang disebut Microsoft sebagai CU, kependekan dari pembaruan kumulatif.
Ini berarti bahwa pertama-tama Anda harus memastikan bahwa penginstalan Exchange Anda saat ini cukup mutakhir untuk menerima tambalan baru, dan proses persiapannya sedikit berbeda bergantung pada versi Exchange mana yang Anda miliki.
62 hole lagi, 4 zero-day baru
Bug Exchange lama itu bukan satu-satunya zero-days yang ditambal di Patch Tuesday.
Pembaruan reguler Windows Patch Tuesday berurusan dengan 62 lubang keamanan lebih lanjut, empat di antaranya adalah bug yang ditemukan penyerang tak dikenal terlebih dahulu, dan sudah dieksploitasi untuk tujuan yang dirahasiakan, atau nol-hari Singkatnya.
( Nol karena tidak ada hari di mana Anda dapat menerapkan tambalan sebelum penjahat, tidak peduli seberapa cepat Anda menerapkan pembaruan.)
Kami akan meringkas keempat bug zero-day tersebut dengan cepat di sini; untuk cakupan lebih rinci dari semua 62 kerentanan, bersama dengan statistik tentang distribusi bug secara umum, silakan berkonsultasi dengan Laporan SophosLabs di situs saudari kita Sophos News:
Microsoft menambal 62 kerentanan, termasuk Kerberos, dan Mark of the Web, dan Exchange…semacam itu
Perbaikan zero-days dalam perbaikan Patch Tuesday bulan ini:
- CVE-2022-41128: Windows Scripting Languages Kerentanan Eksekusi Kode Jarak Jauh. Judulnya mengatakan itu semua: skrip jebakan dari situs jarak jauh dapat melarikan diri dari kotak pasir yang seharusnya membuatnya tidak berbahaya, dan menjalankan kode pilihan penyerang. Biasanya, ini berarti bahwa bahkan pengguna yang berpengetahuan luas yang hanya melihat halaman web di server jebakan dapat berakhir dengan malware yang diam-diam ditanamkan di komputer mereka, tanpa mengklik tautan unduhan apa pun, melihat munculan apa pun, atau mengklik apa pun. peringatan keamanan. Rupanya, bug ini ada di Microsoft lama
Jscript9Mesin JavaScript, tidak lagi digunakan di Edge (yang sekarang menggunakan sistem JavaScript V8 Google), tetapi masih digunakan oleh aplikasi Microsoft lainnya, termasuk browser Internet Explorer lawas. - CVE-2022-41073: Windows Print Spooler Peningkatan Kerentanan Hak Istimewa. Pengumpul cetak ada untuk menangkap keluaran printer dari banyak program dan pengguna yang berbeda, dan bahkan dari komputer jarak jauh, dan kemudian mengirimkannya secara teratur ke perangkat yang diinginkan, meskipun kehabisan kertas saat Anda mencoba mencetak, atau sudah sibuk mencetak pekerjaan yang panjang untuk orang lain. Ini biasanya berarti bahwa spooler kompleks secara program, dan memerlukan hak istimewa tingkat sistem sehingga mereka dapat bertindak sebagai "negosiator" antara pengguna yang tidak memiliki hak istimewa dan perangkat keras printer. Windows Printer Spooler menggunakan local all-powerful
SYSTEMakun, dan sebagai catatan buletin Microsoft: “Penyerang yang berhasil mengeksploitasi kerentanan ini dapat memperoleh hak istimewa SISTEM.” - CVE-2022-41125: Peningkatan Layanan Isolasi Kunci CNG Windows dari Kerentanan Privilege. Seperti pada bug Print Spooler di atas, penyerang yang ingin mengeksploitasi lubang ini membutuhkan pijakan di sistem Anda terlebih dahulu. Tetapi bahkan jika mereka masuk sebagai pengguna biasa atau sebagai tamu untuk memulai, mereka dapat berakhir dengan kekuatan seperti sysadmin dengan menggeliat melalui lubang keamanan ini. Ironisnya, bug ini muncul dalam proses yang dilindungi secara khusus yang dijalankan sebagai bagian dari apa yang disebut Windows LSA (otoritas sistem lokal) yang seharusnya mempersulit penyerang untuk mengekstrak kata sandi yang di-cache dan kunci kriptografi dari memori sistem. Kami menduga bahwa setelah mengeksploitasi bug ini, penyerang akan dapat melewati keamanan yang seharusnya disediakan oleh Layanan Isolasi Kunci itu sendiri, bersama dengan melewati sebagian besar pengaturan keamanan lainnya di komputer.
- CVE-2022-41091: Tanda Windows dari Kerentanan Bypass Fitur Keamanan Web. MoTW Microsoft (tanda web) adalah nama lucu perusahaan untuk apa yang dulu hanya dikenal sebagai Zona Internet: "label data" yang disimpan bersama dengan file yang diunduh yang menyimpan catatan asal file tersebut. Windows kemudian secara otomatis memvariasikan pengaturan keamanannya setiap kali Anda menggunakan file tersebut. Khususnya, file Office yang disimpan dari lampiran email atau diambil dari luar perusahaan akan secara otomatis terbuka di apa yang disebut Tampilan Terproteksi secara default, sehingga memblokir makro dan konten berbahaya lainnya. Sederhananya, eksploit ini berarti bahwa penyerang dapat mengelabui Windows agar menyimpan file yang tidak dipercaya tanpa merekam dengan benar dari mana asalnya, sehingga membuat Anda atau kolega Anda dalam bahaya saat nanti Anda membuka atau membagikan file tersebut.
Apa yang harus dilakukan?
- Menambal Lebih Awal/Menambal Sering. Karena kamu bisa.
- Jika Anda memiliki server Exchange lokal, jangan lupa untuk menambalnya juga, karena patch Exchange 0-day yang dijelaskan di atas tidak akan muncul sebagai bagian dari proses pembaruan Patch Tuesday biasa.
- Baca artikel Berita Sophos untuk informasi lebih lanjut di 58 perbaikan Patch Tuesday lainnya tidak tercakup secara eksplisit di sini.
- Jangan tunda/Lakukan hari ini. Karena empat perbaikan bug yang baru ditemukan zero-days sudah disalahgunakan oleh penyerang aktif.
- 0 hari
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Departemen Keamanan Dalam Negeri
- dompet digital
- Pasar Valas
- Mengeksploitasi
- firewall
- Kaspersky
- malware
- mcafe
- Microsoft
- Keamanan Telanjang
- BerikutnyaBLOC
- Patch Selasa
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- pribadi
- VPN
- kerentanan
- website security
- zephyrnet.dll
- Nol Day
![S3 Ep103: Scammers in the Slammer (dan cerita lainnya) [Audio + Teks] PlatoBlockchain Data Intelligence. Pencarian Vertikal. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/s3-ep103-cover-1200-360x188.png "S3 Ep103: Scammers in the Slammer (dan cerita lainnya) [Audio + Teks]")
