Microsoft affronta Zero-Days, ma la catena di exploit di Exchange Server rimane senza patch

Per l'aggiornamento del Patch Tuesday di ottobre, Microsoft ha affrontato una vulnerabilità di sicurezza critica nel suo servizio cloud Azure, ottenendo una rara valutazione di 10 su 10 sulla scala di gravità della vulnerabilità CVSS.

Il gigante della tecnologia ha anche corretto due bug zero-day classificati come "importanti", uno dei quali viene attivamente sfruttato in natura; e inoltre, potrebbe esserci un terzo problema, in SharePoint, anch'esso attivamente sfruttato.

In particolare, tuttavia, Microsoft non ha emesso soluzioni per i due bug zero-day di Exchange Server senza patch che venne alla luce a fine settembre.

In tutto per ottobre, Microsoft ha rilasciato patch per 85 CVE, inclusi 15 bug critici. I prodotti interessati rientrano come di consueto nella gamma del portafoglio prodotti: Microsoft Windows e componenti di Windows; Azure, Azure Arc e Azure DevOps; Microsoft Edge (basato su Chromium); Componenti per ufficio e ufficio; Codice di Visual Studio; Servizi di dominio Active Directory e Servizi certificati Active Directory; Nu Ottieni client; Hyper-V; e il file system resiliente di Windows (ReFS).

Queste sono in aggiunta a 11 patch per Microsoft Edge (basato su Chromium) e una patch per la speculazione del canale laterale nei processori ARM rilasciata all'inizio del mese.

A Perfect 10: Raro Vuln ultra-critico

Il bug 10 su 10 (CVE-2022-37968) è un problema di elevazione dei privilegi (EoP) e di esecuzione di codice remota (RCE) che potrebbe consentire a un utente malintenzionato non autenticato di ottenere il controllo amministrativo sui cluster Kubernetes abilitati per Azure Arc; potrebbe interessare anche i dispositivi Azure Stack Edge.

Mentre gli aggressori informatici dovrebbero conoscere l'endpoint DNS generato casualmente affinché un cluster Kubernetes abilitato per Azure Arc abbia successo, lo sfruttamento ha un grande vantaggio: possono elevare i propri privilegi all'amministratore del cluster e potenzialmente ottenere il controllo sul cluster Kubernetes.

"Se stai utilizzando questi tipi di container con una versione precedente a 1.5.8, 1.6.19, 1.7.18 e 1.8.11 e sono disponibili da Internet, esegui l'upgrade immediatamente", Mike Walters, vicepresidente della vulnerabilità e ricerca sulle minacce presso Action1, avvisata via e-mail.

Un paio (forse una triade) di patch Zero-Day, ma non QUELLE patch

Il nuovo zero-day confermato in exploit attivo (CVE-2022-41033) è una vulnerabilità EoP nel servizio Windows COM+ Event System. Ha un punteggio CVSS di 7.8.

Il servizio Windows COM+ Event System viene avviato per impostazione predefinita con il sistema operativo ed è responsabile della fornitura di notifiche su accessi e disconnessioni. Tutte le versioni di Windows a partire da Windows 7 e Windows Server 2008 sono vulnerabili e un semplice attacco può portare all'ottenimento dei privilegi di SISTEMA, hanno avvertito i ricercatori.

"Dato che si tratta di un bug di escalation dei privilegi, è probabilmente associato ad altri exploit di esecuzione di codice progettati per prendere il controllo di un sistema", ha osservato Dustin Childs, della Zero Day Initiative (ZDI), in un analisi oggi. “Questi tipi di attacchi spesso implicano una qualche forma di ingegneria sociale, come invogliare un utente ad aprire un allegato o navigare su un sito Web dannoso. Nonostante una formazione anti-phishing quasi costante, soprattutto durante 'Mese di sensibilizzazione sulla sicurezza informatica,' le persone tendono a fare clic su tutto, quindi testa e distribuisci rapidamente questa correzione".

Satnam Narang, ingegnere ricercatore senior presso Tenable, ha notato in un riepilogo inviato via e-mail che un utente malintenzionato autenticato potrebbe eseguire un'applicazione appositamente predisposta per sfruttare il bug ed elevare i privilegi a SYSTEM.

"Sebbene le vulnerabilità relative all'aumento dei privilegi richiedano a un utente malintenzionato di accedere a un sistema con altri mezzi, sono comunque uno strumento prezioso nella cassetta degli attrezzi di un utente malintenzionato e il Patch Tuesday di questo mese non mancano di difetti relativi all'aumento dei privilegi, poiché Microsoft ha corretto 39 , rappresentando quasi la metà dei bug corretti (46.4%)", ha affermato.

Secondo Walters di Action1, questo particolare problema di EoP dovrebbe andare all'inizio della linea per l'applicazione di patch.

“L'installazione della patch appena rilasciata è obbligatoria; in caso contrario, un utente malintenzionato che è connesso a un computer ospite o utente ordinario può ottenere rapidamente i privilegi di SISTEMA su quel sistema ed essere in grado di fare quasi tutto con esso", ha scritto, in un'analisi inviata via e-mail. "Questa vulnerabilità è particolarmente significativa per le organizzazioni la cui infrastruttura si basa su Windows Server."

L'altro bug noto pubblicamente confermato (CVE-2022-41043) è un problema di divulgazione di informazioni in Microsoft Office per Mac che ha un basso rischio CVSS di appena 4 su 10.

Waters ha indicato un altro zero-day potenzialmente sfruttato: un problema di esecuzione di codice in modalità remota (RCE) in SharePoint Server (CVE-2022-41036, CVSS 8.8) che interessa tutte le versioni a partire da SharePoint 2013 Service Pack 1.

"In un attacco basato sulla rete, un avversario autenticato con autorizzazioni Gestisci elenco potrebbe eseguire codice in remoto su SharePoint Server e passare alle autorizzazioni amministrative", ha affermato.

Soprattutto, "Microsoft segnala che probabilmente un exploit è già stato creato e viene utilizzato da gruppi di hacker, ma non ci sono ancora prove di ciò", ha affermato. "Tuttavia, vale la pena prendere sul serio questa vulnerabilità se si dispone di un server SharePoint aperto a Internet".

Nessuna patch ProxyNotShell

Va notato che queste non sono le due patch zero-day che i ricercatori si aspettavano; quei bug, CVE-2022-41040 e CVE-2022-41082, noto anche come ProxyNotShell, rimanere senza indirizzo. Quando sono incatenati, possono consentire RCE su Exchange Server.

“Ciò che potrebbe essere più interessante è ciò che non è incluso nella versione di questo mese. Non ci sono aggiornamenti per Exchange Server, nonostante due bug di Exchange siano stati attivamente sfruttati per almeno due settimane", ha scritto Childs. "Questi bug sono stati acquistati dalla ZDI all'inizio di settembre e segnalati a Microsoft in quel momento. Senza aggiornamenti disponibili per risolvere completamente questi bug, i migliori amministratori che possono fare è assicurarsi che l'aggiornamento cumulativo (CU) di settembre sia installato".

"Nonostante le grandi speranze che il rilascio di Patch Tuesday di oggi contenga correzioni per le vulnerabilità, Exchange Server è evidentemente assente dall'elenco iniziale degli aggiornamenti di sicurezza di ottobre 2022", afferma Caitlin Condon, senior manager per la ricerca sulle vulnerabilità di Rapid7. "La regola consigliata da Microsoft per bloccare i modelli di attacco noti è stata aggirata più volte, sottolineando la necessità di una vera soluzione".

All'inizio di settembre, Rapid7 Labs ha osservato fino a 191,000 istanze potenzialmente vulnerabili di Exchange Server esposte a Internet tramite la porta 443, aggiunge. Tuttavia, a differenza del ProxyShell
ed Accesso proxy
catene di exploit, questo gruppo di bug richiede che un utente malintenzionato disponga dell'accesso alla rete autenticato per poterlo sfruttare con successo.

"Finora, gli attacchi sono rimasti limitati e mirati", afferma, aggiungendo, "È improbabile che continuino col passare del tempo e gli attori delle minacce hanno maggiori opportunità di ottenere l'accesso e affinare le catene di exploit. Quasi sicuramente vedremo ulteriori vulnerabilità post-autenticazione rilasciate nei prossimi mesi, ma la vera preoccupazione sarebbe un vettore di attacco non autenticato che emerge quando i team IT e di sicurezza implementano blocchi del codice di fine anno".

Gli amministratori prendono nota: altri bug a cui dare la priorità

Per quanto riguarda altri problemi a cui dare la priorità, Childs di ZDI ha segnalato due bug EoP del sottosistema di runtime del server client di Windows (CSRSS) tracciati come CVE-2022-37987
ed CVE-2022-37989
(entrambi 7.8 CVSS).

"CVS-2022-37989 è una patch non riuscita per CVE-2022-22047, un bug precedente che ha visto uno sfruttamento in natura", ha spiegato. “Questa vulnerabilità deriva dal fatto che CSRSS è troppo indulgente nell'accettare input da processi non attendibili. Al contrario, CVE-2022-37987 è un nuovo attacco che funziona ingannando CSRSS nel caricare le informazioni sulle dipendenze da una posizione non protetta".

Notevole anche: nove CVE classificati come bug RCE con gravità critica sono stati corretti oggi e sette di essi influiscono sul protocollo di tunneling point-to-point, secondo Greg Wiseman, product manager di Rapid7. "[Questi] richiedono che un attaccante vinca una race condition per sfruttarli", ha osservato via e-mail.

Il ricercatore di Automox Jay Goodman lo aggiunge CVE-2022-38048 (CVSS 7.8) interessa tutte le versioni supportate di Office e potrebbero consentire a un utente malintenzionato di assumere il controllo di un sistema "in cui sarebbe libero di installare programmi, visualizzare o modificare dati o creare nuovi account sul sistema di destinazione con diritti utente completi .” Sebbene sia meno probabile che la vulnerabilità venga sfruttata, secondo Microsoft, la complessità dell'attacco è elencata come bassa.

E infine, lo avverte Gina Geisel, anche lei ricercatrice di Automox CVE-2022-38028
(CVSS 7.8), un bug EoP dello spooler di stampa di Windows, come vulnerabilità a basso privilegio e bassa complessità che non richiede l'interazione dell'utente.

"Un utente malintenzionato dovrebbe accedere a un sistema interessato ed eseguire uno script o un'applicazione appositamente predisposti per ottenere i privilegi di sistema", osserva. “Esempi di questi privilegi di attaccante includono l'installazione di programmi; modificare, cambiare ed eliminare i dati; creazione di nuovi account con diritti utente completi; e spostandosi lateralmente attorno alle reti.