Microsoft heeft oplossingen uitgebracht voor 48 nieuwe kwetsbaarheden in zijn producten, waaronder een die aanvallers actief misbruiken en een andere die openbaar is gemaakt maar nu niet actief wordt misbruikt.
Zes van de kwetsbaarheden die het bedrijf in zijn laatste maandelijkse beveiligingsupdate voor het jaar heeft gepatcht, worden als kritiek aangemerkt. Het kende een belangrijke ernstclassificatie toe aan 43 kwetsbaarheden en gaf drie gebreken een matige ernstbeoordeling.
De update van Microsoft bevat patches voor out-of-band CVE's die de afgelopen maand zijn aangepakt, plus 23 kwetsbaarheden in de Chromium-browsertechnologie van Google, waarop de Edge-browser van Microsoft is gebaseerd.
Actief uitgebuite beveiligingsbug
De fout die aanvallers actief misbruiken (CVE-2022-44698) behoort niet tot de meest kritische bugs waarvoor Microsoft vandaag patches heeft uitgebracht. De fout biedt aanvallers een manier om de Windows SmartScreen-beveiligingsfunctie te omzeilen om gebruikers te beschermen tegen schadelijke bestanden die van internet zijn gedownload.
"Een aanvaller kan een kwaadaardig bestand maken dat de Mark of the Web (MOTW)-verdediging zou omzeilen, wat resulteert in een beperkt verlies van integriteit en beschikbaarheid van beveiligingsfuncties zoals Protected View in Microsoft Office, die afhankelijk zijn van MOTW-tagging", aldus Microsoft.
CVE-2022-44698 vormt slechts een relatief klein risico voor organisaties, zegt Kevin Breen, directeur cyberdreigingsonderzoek bij Immersive Labs. "Het moet worden gebruikt in samenwerking met een uitvoerbaar bestand of andere kwaadaardige code zoals een document of scriptbestand", zegt Breen. "In deze situaties omzeilt deze CVE een deel van Microsoft's ingebouwde reputatiescanning en -detectie - namelijk SmartScreen, dat normaal gesproken zou verschijnen om een โโgebruiker te vertellen dat het bestand mogelijk niet veilig is."
Tegelijkertijd moeten gebruikers de dreiging niet onderschatten en het probleem snel oplossen, raadt Breen aan.
Microsoft beschreef een andere fout - een probleem met misbruik van bevoegdheden in de DirectX Graphics-kernel - als een algemeen bekende zero-day maar niet onder actief misbruik. Het bedrijf beoordeelde de kwetsbaarheid (CVE-2022-44710) als "Belangrijk" qua ernst en een die een aanvaller in staat zou stellen om privileges op systeemniveau te verkrijgen indien misbruikt. Het bedrijf beschreef de fout echter als een fout die aanvallers minder snel zullen misbruiken.
Kwetsbaarheden om nu te patchen
ZDI van Trend Micro signaleerde drie andere kwetsbaarheden in de beveiligingsupdate van december Patch Tuesday als significant: CVE-2022-44713, CVE-2022-41076 en CVE-2022-44699.
CVE-2022-44713 is een spoofing-kwetsbaarheid in Microsoft Outlook voor Mac. Door de kwetsbaarheid kan een aanvaller verschijnen als een vertrouwde gebruiker en ervoor zorgen dat een slachtoffer een e-mailbericht verkeerd interpreteert alsof het afkomstig is van een legitieme gebruiker.
"We benadrukken niet vaak spoofing-bugs, maar elke keer dat je te maken hebt met een spoofing-bug in een e-mailclient, moet je dit in de gaten houden", zegt Dustin Childs, hoofd dreigingsbewustzijn bij ZDI zei in een blogpost. De kwetsbaarheid zou vooral lastig kunnen blijken in combinatie met de eerder genoemde SmartScreen MoTW-bypass-fout die aanvallers actief misbruiken, zei hij.
CVE-2022-41076 is een PowerShell Remote Code Execution (RCE)-kwetsbaarheid waarmee een geverifieerde aanvaller kan ontsnappen aan de PowerShell Remoting Session Configuration en willekeurige opdrachten kan uitvoeren op een getroffen systeem, aldus Microsoft.
Het bedrijf beoordeelde de kwetsbaarheid als iets dat aanvallers eerder zullen compromitteren, ook al is de aanval zelf erg complex. Volgens Childs moeten organisaties op de kwetsbaarheid letten, omdat dit het type fout is dat aanvallers vaak misbruiken wanneer ze "van het land willen leven" nadat ze voor het eerst toegang hebben gekregen tot een netwerk.
"Negeer deze patch absoluut niet", schreef Childs.
En ten slotte is CVE-2022-44699 nog een beveiligingslek - dit keer in Azure Network Watcher Agent - die, indien misbruikt, van invloed kunnen zijn op het vermogen van een organisatie om logboeken vast te leggen die nodig zijn voor reactie op incidenten.
"Er zijn misschien niet veel bedrijven die op deze tool vertrouwen, maar voor degenen die deze [Azure Network Watcher] VM-extensie gebruiken, moet deze oplossing als essentieel worden beschouwd en snel worden geรฏmplementeerd", aldus Childs.
Onderzoekers met Cisco Talos drie andere kwetsbaarheden geรฏdentificeerd als kritiek en problemen die organisaties onmiddellijk moeten aanpakken. Een daarvan is CVE-2022-41127, een RCE-kwetsbaarheid die Microsoft Dynamics NAV en lokale versies van Microsoft Dynamics 365 Business Central treft. Een succesvolle exploit zou een aanvaller in staat kunnen stellen willekeurige code uit te voeren op servers waarop Microsoft's Dynamics NAV ERP-applicatie draait, aldus Talos-onderzoekers in een blogpost.
De andere twee kwetsbaarheden die de leverancier van groot belang acht, zijn CVE-2022-44670 en CVE-2022-44676, beide RCE-fouten in het Windows Secure Socket Tunneling Protocol (SSTP).
"Succesvol misbruik van deze kwetsbaarheden vereist dat een aanvaller een raceconditie wint, maar kan een aanvaller in staat stellen op afstand code uit te voeren op RAS-servers", aldus het advies van Microsoft.
Onder de kwetsbaarheden die de SANS Internet Stormcentrum geรฏdentificeerd als belangrijk zijn (CVE-2022-41089), een RCE in het .NET Framework, en (CVE-2022-44690) in Microsoft SharePoint Server.
In een blogpost, Mike Walters, vice-president van onderzoek naar kwetsbaarheden en bedreigingen bij Action1 Corp., wees ook op een kwetsbaarheid voor misbruik van bevoegdheden in Windows Print Spooler (CVE-2022-44678), net zo een ander probleem om naar te kijken.
"De nieuw opgeloste CVE-2022-44678 zal hoogstwaarschijnlijk worden misbruikt, wat waarschijnlijk waar is omdat Microsoft vorige maand een andere zero-day-kwetsbaarheid met betrekking tot Print Spooler heeft verholpen", zei Walters. โHet risico van CVE-2022-44678 is hetzelfde: een aanvaller kan SYSTEEMrechten krijgen na succesvolle exploitatie - maar alleen lokaal.โ
Een verwarrend aantal bugs
Interessant is dat verschillende leveranciers verschillende opvattingen hadden over het aantal kwetsbaarheden dat Microsoft deze maand heeft gepatcht. ZDI heeft bijvoorbeeld vastgesteld dat Microsoft 52 kwetsbaarheden heeft gepatcht; Talos koppelde het nummer aan 48, SANS aan 74 en Action1 liet aanvankelijk Microsoft 74 patchen, voordat het werd teruggebracht tot 52.
Johannes Ullrich, onderzoeksdecaan van het SANS Technology Institute, zegt dat het probleem te maken heeft met de verschillende manieren waarop kwetsbaarheden kunnen worden geteld. Sommige tellen bijvoorbeeld Chromium-kwetsbaarheden mee, andere niet.
Anderen, zoals SANS, bevatten ook beveiligingsadviezen die soms samengaan met Microsoft-updates als kwetsbaarheden. Microsoft brengt in de loop van de maand soms ook patches uit, die ook worden opgenomen in de volgende Patch Tuesday-update, en sommige onderzoekers tellen deze niet mee.
"Het aantal patches kan soms verwarrend zijn, aangezien de Patch Tuesday-cyclus technisch gezien van november tot december is, dus dit omvat ook patches die eerder deze maand buiten de band zijn uitgebracht, en kan ook updates van externe leveranciers bevatten", zegt Breen. . "De meest opvallende hiervan zijn patches van Google van Chromium, de basis voor Microsoft's Edge-browser."
Breen zegt volgens zijn telling dat er 74 kwetsbaarheden zijn gepatcht sinds de laatste Patch-dinsdag in november. Dit omvat 51 van Microsoft en 23 van Google voor de Edge-browser.
"Als we zowel de out-of-band als Google Chromium [patches] uitsluiten, zijn er vandaag 49 patches voor kwetsbaarheden uitgebracht", zegt hij.
Een woordvoerder van Microsoft zegt dat het aantal nieuwe CVE's waarvoor het bedrijf vandaag patches heeft uitgegeven 48 was.
