CISA dringt aan op patch van misbruikte Windows 11-bug voor 2 augustus

Een Windows 11-kwetsbaarheid, onderdeel van Microsoft's Patch Tuesday-verzameling van fixes, wordt in het wild uitgebuit, wat de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) ertoe aanzet om tegen 2 augustus te adviseren om de kwetsbaarheid wegens misbruik van bevoegdheden te patchen.

De aanbeveling is gericht op federale agentschappen en bezorgdheden CVE-2022-22047, een kwetsbaarheid met een CVSS-score van hoog (7.8) en blootstelt Windows Client Server Runtime Subsystem (CSRSS) gebruikt in Windows 11 (en eerdere versies die teruggaan tot 7) en ook Windows Server 2022 (en eerdere versies 2008, 2012, 2016 en 2019) om aan te vallen.

[GRATIS evenement op aanvraag: Sluit je aan bij Zane Bond van Keeper Security in een Threatpost-rondetafelgesprek en leer hoe je overal veilig toegang tot je machines kunt krijgen en gevoelige documenten kunt delen vanuit je thuiskantoor. KIJK HIER.]

De CSRSS-bug is een beveiligingslek met betrekking tot misbruik van bevoegdheden waardoor kwaadwillenden met een vooraf bepaalde positie op een gericht systeem code kunnen uitvoeren als een niet-bevoorrechte gebruiker. Toen de bug eerder deze maand voor het eerst werd gemeld door het eigen beveiligingsteam van Microsoft, werd deze geclassificeerd als een zero-day of een bekende bug zonder patch. Die patch is beschikbaar gemaakt op Dinsdag juli 5.

Onderzoekers van FortiGuard Labs, een divisie van Fortinet, zeiden dat de bedreiging die de bug vormt voor het bedrijfsleven "gemiddeld" is. In een bulletin leggen onderzoekers uit: de verlaagde beoordeling omdat een tegenstander geavanceerde "lokale" of fysieke toegang tot het beoogde systeem nodig heeft om de bug te misbruiken en er een patch beschikbaar is.

Dat gezegd hebbende, zou een aanvaller die eerder externe toegang tot een computersysteem heeft gekregen (via malware-infectie) de kwetsbaarheid op afstand kunnen misbruiken.

“Hoewel er geen verdere informatie is vrijgegeven door Microsoft over exploitatie, kan worden aangenomen dat een onbekende externe code-uitvoering een aanvaller in staat stelde zijdelingse bewegingen uit te voeren en privileges te verhogen op machines die kwetsbaar zijn voor CVE-2022-22047, waardoor uiteindelijk SYSTEEM-privileges mogelijk werden, ” schreef FortiGuard Labs.

Toegangspunten voor Office en Adobe-documenten

Hoewel de kwetsbaarheid actief wordt misbruikt, zijn er geen openbare proof-of-concept-exploits bekend in het wild die kunnen worden gebruikt om aanvallen te verminderen of soms aan te wakkeren, volgens een verslag van The Record.

"De kwetsbaarheid stelt een aanvaller in staat om code uit te voeren als SYSTEEM, op ​​voorwaarde dat ze andere code op het doelwit kunnen uitvoeren", schreef Trend Micro's Zero Day Initiative (ZDI) in zijn Patch Tuesday ronde vorige week.

“Bugs van dit type gaan meestal gepaard met een code-uitvoeringsbug, meestal een speciaal vervaardigd Office- of Adobe-document, om een ​​systeem over te nemen. Deze aanvallen zijn vaak afhankelijk van macro's, en daarom waren zo velen ontmoedigd toen ze hoorden dat Microsoft alle Office-macro's standaard blokkeerde", schreef ZDI-auteur Dustin Childs.

Microsoft zei onlangs dat het het gebruik van Visual Basic for Applications (VBA)-macro's standaard in sommige van zijn Office-apps zou blokkeren, maar stel geen tijdlijn in om het beleid af te dwingen.

CISA de Microsoft-bug toegevoegd aan de actieve lijst van bekende misbruikte kwetsbaarheden op 7 juli (zoek "CVE-2022-22047" om het item te vinden) en raadt eenvoudig aan "updates volgens instructies van de leverancier toe te passen".

[GRATIS evenement op aanvraag: Sluit je aan bij Zane Bond van Keeper Security in een Threatpost-rondetafelgesprek en leer hoe je overal veilig toegang tot je machines kunt krijgen en gevoelige documenten kunt delen vanuit je thuiskantoor. KIJK HIER.]

Afbeelding: met dank aan Microsoft