Ricorda quelli Scambio zero-day che è emerso in un tripudio di pubblicità nel settembre 2022?
Quei difetti, e gli attacchi basati su di essi, sono stati soprannominati in modo arguto ma fuorviante ProxyNotShell perché le vulnerabilità coinvolte ricordavano il ProxyShell falla di sicurezza in Exchange che ha colpito le notizie nell'agosto 2021.
Fortunatamente, a differenza di ProxyShell, i nuovi bug non erano direttamente sfruttabili da chiunque avesse una connessione a Internet e un senso errato di avventura nella sicurezza informatica.
Questa volta, avevi bisogno di una connessione autenticata, il che in genere significava prima acquisire o indovinare correttamente la password e-mail di un utente esistente, quindi fare un tentativo deliberato di accedere dove sapevi che non dovevi essere, prima di poter eseguire qualsiasi "ricerca" per "aiutare" gli amministratori di sistema del server con il loro lavoro:
Fare clic e trascinare sulle onde sonore sottostanti per passare a qualsiasi punto. Puoi anche ascolta direttamente su Soundcloud.
Per inciso, sospettiamo che molte delle migliaia di sedicenti "ricercatori di sicurezza informatica" che erano felici di sondare i server di altre persone "per divertimento" quando i bug Log4Shell e ProxyShell erano di gran moda, lo facevano sapendo che avrebbero potuto ricorrere a la presunzione di innocenza se scoperti e criticati. Ma sospettiamo che ci abbiano pensato due volte prima di essere scoperti mentre fingevano di essere utenti che sapevano di non essere, cercando di accedere ai server sotto la copertura di account che sapevano sarebbero stati off-limits, per poi ricorrere al "eravamo solo cercando di aiutare” scusa.
Quindi, anche se noi sperato che Microsoft avrebbe trovato una soluzione rapida e fuori banda, non l'abbiamo fatto attenderti uno ...
… e quindi abbiamo ipotizzato, probabilmente in comune con la maggior parte dei lettori di Naked Security, che le patch sarebbero arrivate con calma e senza fretta come parte del Patch Tuesday di ottobre 2022, a più di due settimane di distanza.
Dopotutto, affrettare le soluzioni di sicurezza informatica è un po' come correre con le forbici o usare il gradino più alto di una scala a pioli: ci sono modi per farlo in sicurezza se proprio devi, ma è meglio evitare del tutto di farlo se puoi.
Tuttavia, le patch non è apparso su Patch Martedìanche tu, certamente con nostra lieve sorpresa, anche se ci sentivamo quasi certi che le correzioni sarebbero state apportate al più tardi nel Patch Tuesday di novembre 2022:
Patch Tuesday in breve: un giorno 0 riparato, ma nessuna patch per Exchange!
Curiosamente, ci siamo sbagliati di nuovo (almeno a rigore): il ProxyNotShell le patch non ce l'hanno fatta ai miglioramenti Patch Tuesday di novembre, ma sono stati rattoppati on Patch Tuesday, in arrivo invece in una serie di Aggiornamenti di sicurezza di Exchange (SU) rilasciati lo stesso giorno:
Le US [Exchange] di novembre 2022 sono disponibili per [Exchange 2013, 2016 e 2019].
Poiché siamo a conoscenza di exploit attivi di vulnerabilità correlate (attacchi mirati limitati), la nostra raccomandazione è di installare immediatamente questi aggiornamenti per essere protetti da questi attacchi.
Le SU di novembre 2022 contengono correzioni per le vulnerabilità zero-day segnalate pubblicamente il 29 settembre 2022 (CVE-2022-41040 e CVE-2022-41082).
Queste vulnerabilità interessano Exchange Server. I clienti di Exchange Online sono già protetti dalle vulnerabilità affrontate in queste SU e non devono intraprendere alcuna azione diversa dall'aggiornamento dei server Exchange nel loro ambiente.
Immaginiamo che queste correzioni non facessero parte del normale meccanismo del Patch Tuesday perché non sono ciò che Microsoft chiama CU, abbreviazione di aggiornamenti cumulativi.
Ciò significa che devi prima assicurarti che l'installazione di Exchange corrente sia sufficientemente aggiornata per accettare le nuove patch e il processo preparatorio è leggermente diverso a seconda della versione di Exchange in uso.
Altre 62 buche, 4 nuovi zero-day
Quei vecchi bug di Exchange non sono stati gli unici zero-day corretti il Patch Tuesday.
Gli aggiornamenti regolari di Windows Patch Tuesday riguardano altre 62 falle di sicurezza, quattro delle quali sono bug che gli aggressori sconosciuti hanno trovato per primi e che stanno già sfruttando per scopi non divulgati, oppure zero-day in breve.
(Zero perché non c'erano giorni in cui avresti potuto applicare le patch prima dei truffatori, non importa quanto velocemente distribuissi gli aggiornamenti.)
Riepilogheremo rapidamente questi quattro bug zero-day qui; per una copertura più dettagliata di tutte le 62 vulnerabilità, insieme alle statistiche sulla distribuzione dei bug in generale, consultare il Rapporto SophosLabs sul nostro sito gemello Sophos News:
Microsoft corregge 62 vulnerabilità, tra cui Kerberos, Mark of the Web ed Exchange... più o meno
Zero giorni corretti nelle correzioni del Patch Tuesday di questo mese:
- CVE-2022-41128: Vulnerabilità legata all'esecuzione di codice in modalità remota nei linguaggi di scripting di Windows. Il titolo dice tutto: script con trappola esplosiva da un sito remoto potrebbero sfuggire dalla sandbox che dovrebbe renderli innocui ed eseguire il codice scelto da un utente malintenzionato. In genere, ciò significa che anche un utente ben informato che ha semplicemente guardato una pagina Web su un server con trappole esplosive potrebbe ritrovarsi con malware impiantato di nascosto sul proprio computer, senza fare clic su alcun collegamento di download, vedere alcun popup o fare clic su qualsiasi avvisi di sicurezza. Apparentemente, questo bug esiste nel vecchio Microsoft
Jscript9Motore JavaScript, non più utilizzato in Edge (che ora utilizza il sistema JavaScript V8 di Google), ma ancora utilizzato da altre app Microsoft, incluso il browser Internet Explorer legacy. - CVE-2022-41073: Elevazione della vulnerabilità dei privilegi dello spooler di stampa di Windows. Esistono spooler di stampa per acquisire l'output della stampante da molti programmi e utenti diversi, e anche da computer remoti, e quindi consegnarlo in modo ordinato al dispositivo desiderato, anche se era senza carta quando si è tentato di stampare o era già occupato stampare un lungo lavoro per qualcun altro. Ciò significa in genere che gli spooler sono programmaticamente complessi e richiedono privilegi a livello di sistema in modo che possano agire come "negoziatori" tra utenti non privilegiati e l'hardware della stampante. Lo spooler di stampa di Windows utilizza l'onnipotente locale
SYSTEMaccount e come note del bollettino Microsoft: "Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe ottenere privilegi di SISTEMA." - CVE-2022-41125: Aumento della vulnerabilità dei privilegi del servizio di isolamento delle chiavi CNG di Windows. Come nel bug di Print Spooler sopra, gli aggressori che vogliono sfruttare questo buco hanno bisogno prima di tutto di un punto d'appoggio nel tuo sistema. Ma anche se hanno effettuato l'accesso come utente normale o ospite per cominciare, potrebbero ritrovarsi con poteri simili all'amministratore di sistema divincolandosi attraverso questo buco di sicurezza. Ironia della sorte, questo bug esiste in un processo appositamente protetto eseguito come parte di quello che viene chiamato Windows LSA (autorità di sistema locale) che dovrebbe rendere difficile per gli aggressori estrarre le password memorizzate nella cache e le chiavi crittografiche dalla memoria di sistema. Supponiamo che dopo aver sfruttato questo bug, gli aggressori sarebbero in grado di aggirare la stessa sicurezza che lo stesso servizio di isolamento della chiave dovrebbe fornire, oltre a bypassare la maggior parte delle altre impostazioni di sicurezza sul computer.
- CVE-2022-41091: Windows Mark of the Web Security Vulnerabilità di bypass. MoTW di Microsoft (marchio del web) è il simpatico nome dell'azienda per quello che era conosciuto semplicemente come Zone Internet: un'"etichetta dati" salvata insieme a un file scaricato che tiene traccia della provenienza del file. Windows quindi varia automaticamente le sue impostazioni di sicurezza di conseguenza ogni volta che si utilizza il file. In particolare, i file di Office salvati da allegati di posta elettronica o recuperati dall'esterno dell'azienda si apriranno automaticamente nei cosiddetti Visualizzazione protetta per impostazione predefinita, bloccando così le macro e altri contenuti potenzialmente pericolosi. In poche parole, questo exploit significa che un utente malintenzionato può indurre Windows a salvare file non attendibili senza registrare correttamente da dove provengono, esponendo così te o i tuoi colleghi al pericolo quando in seguito apri o condividi quei file.
Cosa fare?
- Patch in anticipo/Patch spesso. Perché tu puoi.
- Se disponi di server Exchange locali, non dimenticare di applicare le patch anche a loro, perché le patch di Exchange 0-day sopra descritte non verranno visualizzate come parte del normale processo di aggiornamento di Patch Tuesday.
- Leggi l'articolo di Sophos News per ulteriori informazioni sulle altre 58 correzioni del Patch Tuesday non trattate esplicitamente qui.
- Non ritardare/Fallo oggi. Perché quattro delle correzioni di bug sono zero-day scoperti di recente già oggetto di abusi da parte di aggressori attivi.
- 0 giorno
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- exchange
- Sfruttare
- firewall
- Kaspersky
- il malware
- Mcafee
- Microsoft
- Sicurezza nuda
- NextBLOC
- Patch Martedì
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- Privacy
- VPN
- vulnerabilità
- sicurezza del sito Web
- zefiro
- Zero Day
![S3 Ep103: Scammers in the Slammer (e altre storie) [Audio + Testo] PlatoBlockchain Data Intelligence. Ricerca verticale. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/s3-ep103-cover-1200-360x188.png "S3 Ep103: Scammers in the Slammer (e altre storie) [Audio + Testo]")
