הבנק הפדרלי קורא לסוכנויות האמריקאיות לתקן באג של Microsoft July Patch Tuesday 2022 שמנוצל בטבע עד ה-2 באוגוסט.
פגיעות של Windows 11, חלק מאוסף התיקונים של מיקרוסופט של Patch Tuesday, מנוצלת בטבע, מה שמביא את הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) לייעץ לתיקון ליקוי העלאת הרשאות עד ה-2 באוגוסט.
ההמלצה מכוונת לסוכנויות ודאגות פדרליות CVE-2022-22047, פגיעות הנושאת ציון CVSS גבוה (7.8) וחושפת את מערכת המשנה של Windows Client Server Runtime (CSRSS) המשמשת ב-Windows 11 (וגרסאות קודמות עוד מ-7) וגם ב-Windows Server 2022 (וגרסאות קודמות 2008, 2012, 2016 ו-2019) לתקוף.
[אירוע חינם לפי דרישה: הצטרף ל-Zane Bond של Keeper Security בשולחן עגול של Threatpost ולמד כיצד לגשת בצורה מאובטחת למכונות שלך מכל מקום ולשתף מסמכים רגישים מהמשרד הביתי שלך. צפה כאן.]
באג CSRSS הוא פגיעות של העלאת הרשאות המאפשרת ליריבים עם דריסת רגל קבועה מראש על מערכת ממוקדת להפעיל קוד כמשתמש חסר הרשאות. כאשר הבאג דווח לראשונה על ידי צוות האבטחה של מיקרוסופט עצמו מוקדם יותר החודש, הוא סווג כאפס יום, או באג ידוע ללא תיקון. התיקון הזה הפך זמין ב- יום שלישי 5 ביולי.
חוקרים ב-FortiGuard Labs, חטיבה של Fortinet, אמרו שהאיום שהבאג מהווה לעסקים הוא "בינוני". בעלון, מסבירים החוקרים הדירוג שהוורד מכיוון שיריב זקוק לגישה "מקומית" או פיזית מתקדמת למערכת הממוקדת כדי לנצל את הבאג וקיים תיקון זמין.
עם זאת, תוקף שקיבל בעבר גישה מרחוק למערכת מחשב (דרך הדבקה בתוכנה זדונית) יכול לנצל את הפגיעות מרחוק.
"למרות שאין מידע נוסף על ניצול שפורסמה על ידי מיקרוסופט, ניתן לשער שביצוע קוד מרחוק לא ידוע אפשר לתוקף לבצע תנועה לרוחב ולהסלים הרשאות במכונות הפגיעות ל-CVE-2022-22047, ובסופו של דבר אפשרו הרשאות SYSTEM, " כתבה מעבדות FortiGuard.
נקודות כניסה של Office ו-Adobe Documents
בעוד שהפגיעות מנוצלת באופן פעיל, אין הוכחה ציבורית ידועה לניצול קונספט בטבע שיכול לשמש כדי לעזור למתן או לפעמים לתדלק התקפות, על פי דיווח של The Record.
"הפגיעות מאפשרת לתוקף לבצע קוד כ-SYSTEM, בתנאי שהוא יכול לבצע קוד אחר על המטרה", כתב Trend Micro's יוזמת יום אפס (ZDI) בתיקון שלה ביום שלישי סיכום בשבוע שעבר.
"באגים מסוג זה משויכים בדרך כלל לבאג ביצוע קוד, בדרך כלל מסמך Office או Adobe בעל מבנה מיוחד, כדי להשתלט על מערכת. התקפות אלה מסתמכות לעתים קרובות על פקודות מאקרו, וזו הסיבה שרבים כל כך התביישו לשמוע את העיכוב של מיקרוסופט בחסימת כל פקודות המאקרו של Office כברירת מחדל", כתב מחבר ZDI דסטין צ'יילדס.
מיקרוסופט אמרה לאחרונה שהיא תחסום את השימוש בפקודות מאקרו של Visual Basic for Applications (VBA) כברירת מחדל בחלק מיישומי ה-Office שלה, אולם לא הגדירה ציר זמן לאכוף את המדיניות.
CISA הוסיף את הבאג של מיקרוסופט לרשימת הריצה שלו של פגיעויות ידועות מנוצלות ב-7 ביולי (חפש "CVE-2022-22047" כדי למצוא את הערך) וממליץ פשוט "להחיל עדכונים לפי הוראות הספק".
[אירוע חינם לפי דרישה: הצטרף ל-Zane Bond של Keeper Security בשולחן עגול של Threatpost ולמד כיצד לגשת בצורה מאובטחת למכונות שלך מכל מקום ולשתף מסמכים רגישים מהמשרד הביתי שלך. צפה כאן.]
תמונה: באדיבות מיקרוסופט
