10월 패치 화요일 업데이트에서 Microsoft는 Azure 클라우드 서비스의 심각한 보안 취약성을 해결했으며 CVSS 취약성 심각도 척도에서 드문 10점 만점에 XNUMX점을 받았습니다.
이 기술 대기업은 또한 두 개의 "중요" 등급의 제로데이 버그를 패치했으며 그 중 하나는 야생에서 적극적으로 악용되고 있습니다. 또한 SharePoint에는 적극적으로 악용되고 있는 세 번째 문제가 있을 수 있습니다.
그러나 특히 Microsoft는 두 가지에 대한 수정 사항을 발표하지 않았습니다. 패치되지 않은 Exchange Server 제로데이 버그 그것이 XNUMX월 말에 밝혀졌다.
85월에 Microsoft는 15개의 중요한 버그를 포함하여 XNUMX개의 CVE에 대한 패치를 출시했습니다. 영향을 받는 제품은 Microsoft Windows 및 Windows 구성 요소와 같이 제품 포트폴리오의 범위를 평소와 같이 실행합니다. Azure, Azure Arc 및 Azure DevOps Microsoft Edge(크롬 기반); 사무실 및 사무실 구성 요소; 비주얼 스튜디오 코드; Active Directory 도메인 서비스 및 Active Directory 인증서 서비스; Nu Get 클라이언트; 하이퍼-V; 및 Windows ReFS(복원 파일 시스템).
이는 Microsoft Edge(Chromium 기반)용 패치 11개와 이달 초에 릴리스된 ARM 프로세서의 부채널 추측용 패치에 추가됩니다.
A Perfect 10: 희귀한 극도로 치명적인 취약점
10개 중 10개 버그(CVE-2022-37968) 인증되지 않은 공격자가 Azure Arc 지원 Kubernetes 클러스터에 대한 관리 제어 권한을 얻을 수 있는 권한 상승(EoP) 및 원격 코드 실행(RCE) 문제입니다. Azure Stack Edge 장치에도 영향을 줄 수 있습니다.
사이버 공격자는 Azure Arc 지원 Kubernetes 클러스터에 대해 무작위로 생성된 DNS 끝점을 알아야 하지만 악용에는 큰 이점이 있습니다. 권한을 클러스터 관리자로 높이고 잠재적으로 Kubernetes 클러스터를 제어할 수 있습니다.
마이크 월터스(Mike Walters) 취약점 및 취약점 담당 부사장은 “1.5.8, 1.6.19, 1.7.18, 1.8.11보다 낮은 버전의 컨테이너를 인터넷에서 구할 수 있다면 즉시 업그레이드하라”고 말했다. Action1의 위협 연구, 이메일을 통해 경고.
한 쌍의 제로데이 패치(아마도 트라이어드일 수 있음) – 하지만 그 패치는 아님
새로운 제로데이가 적극적으로 악용되는 것으로 확인되었습니다(CVE-2022-41033)는 Windows COM+ 이벤트 시스템 서비스의 EoP 취약점입니다. CVSS 점수는 7.8입니다.
Windows COM+ 이벤트 시스템 서비스는 기본적으로 운영 체제와 함께 시작되며 로그온 및 로그오프에 대한 알림을 제공합니다. Windows 7 및 Windows Server 2008부터 시작하는 모든 Windows 버전은 취약하며 단순한 공격으로 시스템 권한을 얻을 수 있다고 연구원들은 경고했습니다.
ZDI(Zero Day Initiative)의 Dustin Childs는 "이것은 권한 상승 버그이기 때문에 시스템을 인수하도록 설계된 다른 코드 실행 익스플로잇과 짝을 이룰 가능성이 있습니다."라고 말했습니다. 오늘 분석. “이러한 유형의 공격에는 사용자가 첨부 파일을 열거나 악성 웹 사이트를 탐색하도록 유도하는 것과 같은 일종의 사회 공학이 포함되는 경우가 많습니다. 거의 지속적인 피싱 방지 교육에도 불구하고 특히 '사이버 보안 인식의 달,' 사람들은 모든 것을 클릭하는 경향이 있으므로 이 수정 사항을 신속하게 테스트하고 배포합니다."
Tenable의 선임 연구원인 Satnam Narang은 이메일 요약에서 인증된 공격자가 버그를 악용하고 SYSTEM에 대한 권한을 높이기 위해 특수 제작된 응용 프로그램을 실행할 수 있다고 말했습니다.
"권한 상승 취약점은 공격자가 다른 수단을 통해 시스템에 액세스해야 하지만 여전히 공격자의 도구 상자에서 중요한 도구이며 이번 달 패치 화요일에는 Microsoft가 39 패치를 패치한 것처럼 권한 상승 취약점이 부족하지 않습니다. , 패치된 버그의 거의 절반(46.4%)을 차지합니다.”라고 그는 말했습니다.
Action1의 Walters에 따르면 이 특정 EoP 문제는 패치 라인의 선두에 있어야 합니다.
“새로 출시된 패치를 설치하는 것은 필수입니다. 그렇지 않으면 게스트 또는 일반 사용자 컴퓨터에 로그온한 공격자가 해당 시스템에 대한 SYSTEM 권한을 빠르게 획득하여 거의 모든 작업을 수행할 수 있습니다.”라고 이메일 분석에서 썼습니다. "이 취약점은 인프라가 Windows Server에 의존하는 조직에 특히 중요합니다."
기타 확인된 공개적으로 알려진 버그(CVE-2022-41043)는 CVSS 위험 등급이 4점 만점에 10점으로 낮은 Mac용 Microsoft Office의 정보 공개 문제입니다.
Waters는 또 다른 잠재적으로 악용될 수 있는 제로데이인 SharePoint Server의 원격 코드 실행(RCE) 문제를 지적했습니다.CVE-2022-41036, CVSS 8.8) SharePoint 2013 서비스 팩 1부터 시작하는 모든 버전에 영향을 줍니다.
"네트워크 기반 공격에서 목록 관리 권한이 있는 인증된 공격자는 SharePoint Server에서 원격으로 코드를 실행하고 관리 권한으로 승격될 수 있습니다."라고 그는 말했습니다.
가장 중요한 것은 “마이크로소프트는 익스플로잇이 이미 생성되어 해커 그룹이 사용하고 있을 가능성이 있다고 보고하지만 아직 이에 대한 증거는 없습니다.”라고 말했습니다. "그렇지만 인터넷에 SharePoint Server가 열려 있는 경우 이 취약점을 심각하게 고려할 가치가 있습니다."
ProxyNotShell 패치 없음
이것은 연구자들이 기대했던 두 개의 제로데이 패치가 아니라는 점에 유의해야 합니다. 해당 버그, CVE-2022-41040 및 CVE-2022-41082, ProxyNotShell이라고도 함, 해결되지 않은 상태로 유지됩니다. 함께 연결되면 Exchange Server에서 RCE를 허용할 수 있습니다.
“더 흥미로운 것은 이번 달 릴리스에 포함되지 않은 내용입니다. 최소 XNUMX주 동안 XNUMX개의 Exchange 버그가 적극적으로 악용되고 있음에도 불구하고 Exchange Server에 대한 업데이트는 없습니다. “이러한 버그는 XNUMX월 초에 ZDI에서 구매했으며 당시 Microsoft에 보고되었습니다. 이러한 버그를 완전히 해결할 수 있는 업데이트가 없기 때문에 관리자가 할 수 있는 최선은 XNUMX월 ... 누적 업데이트(CU)가 설치되도록 하는 것입니다.”
Rapid2022의 취약점 연구 수석 관리자인 Caitlin Condon은 "오늘의 패치 화요일 릴리스에 취약점에 대한 수정 사항이 포함될 것이라는 큰 기대에도 불구하고 Exchange Server는 7년 XNUMX월 보안 업데이트의 초기 목록에서 눈에 띄게 누락되었습니다. "알려진 공격 패턴을 차단하기 위한 Microsoft의 권장 규칙은 여러 번 우회되어 진정한 수정의 필요성을 강조합니다."
7월 초 현재 Rapid191,000 Labs는 포트 443을 통해 인터넷에 노출된 잠재적으로 취약한 Exchange Server 인스턴스를 최대 XNUMX개까지 관찰했습니다. 그러나, 달리 프록시쉘
및 프록시 로그온
익스플로잇 체인, 이 버그 그룹은 성공적인 익스플로잇을 위해 공격자가 인증된 네트워크 액세스를 필요로 합니다.
그녀는 "지금까지 공격은 제한적이고 표적이 된 상태로 남아 있다"며 "시간이 흐르고 위협 행위자가 액세스 권한을 얻고 익스플로잇 체인을 연마할 기회가 더 많아지면 공격이 계속될 것 같지 않다"고 덧붙였다. 앞으로 몇 달 안에 추가 인증 후 취약점이 출시될 것이 거의 확실하지만 IT 및 보안 팀이 연말 코드 동결을 구현함에 따라 인증되지 않은 공격 벡터가 발생하는 것이 진짜 문제입니다.”
관리자는 참고: 우선 순위를 지정해야 하는 기타 버그
우선 순위를 정해야 할 다른 문제에 관해서는 ZDI의 차일드는 다음과 같이 추적된 두 개의 Windows 클라이언트 서버 런타임 하위 시스템(CSRSS) EoP 버그에 플래그를 지정했습니다. CVE-2022-37987
및 CVE-2022-37989
(둘 다 7.8 CVSS).
"CVS-2022-37989는 일부 in-the-wild 익스플로잇을 보았던 초기 버그인 CVE-2022-22047에 대한 실패한 패치입니다."라고 그는 설명했습니다. “이 취약점은 CSRSS가 신뢰할 수 없는 프로세스의 입력을 받아들이는 데 너무 관대하기 때문에 발생합니다. 대조적으로 CVE-2022-37987은 CSRSS를 속여 보안되지 않은 위치에서 종속성 정보를 로드하도록 하는 새로운 공격입니다.”
또한 주목할만한 점: Rapid7의 제품 관리자인 Greg Wiseman에 따르면 심각한 심각도를 가진 RCE 버그로 분류된 XNUMX개의 CVE도 오늘 패치되었으며 그 중 XNUMX개는 지점간 터널링 프로토콜에 영향을 미칩니다. 그는 이메일을 통해 "[이러한] 공격자는 경쟁 조건에서 승리해야 공격할 수 있습니다."라고 말했습니다.
Automox 연구원 Jay Goodman은 다음과 같이 덧붙입니다. CVE-2022-38048 (CVSS 7.8) 지원되는 모든 Office 버전에 영향을 미치며 공격자가 "자유롭게 프로그램을 설치하거나 데이터를 보거나 변경하거나 전체 사용자 권한으로 대상 시스템에 새 계정을 만들 수 있는 시스템"을 제어할 수 있습니다. .” 취약점은 악용될 가능성이 적지만 Microsoft에 따르면 공격 복잡성은 낮은 것으로 나열됩니다.
마지막으로 Automox 연구원이기도 한 Gina Geisel은 다음과 같이 경고합니다. CVE-2022-38028
(CVSS 7.8) Windows Print Spooler EoP 버그로 사용자 상호 작용이 필요 없는 낮은 권한 및 복잡성이 있는 취약점입니다.
"공격자는 영향을 받는 시스템에 로그온하고 특수하게 조작된 스크립트 또는 응용 프로그램을 실행하여 시스템 권한을 얻어야 합니다."라고 그녀는 말합니다. “이러한 공격자 권한의 예에는 프로그램 설치가 포함됩니다. 데이터 수정, 변경 및 삭제 전체 사용자 권한으로 새 계정 만들기 네트워크 주변에서 측면으로 이동합니다."
