For sin oktoberoppdatering tirsdag adresserte Microsoft et kritisk sikkerhetssårbarhet i Azure-skytjenesten, med en sjelden 10-av-10-vurdering på CVSS-sårbarhets-alvorlighetsskalaen.
Teknologigiganten lappet også to «viktige»-rangerte nulldagers feil, hvorav den ene blir aktivt utnyttet i naturen; og videre kan det være et tredje problem, i SharePoint, som også blir aktivt utnyttet.
Spesielt, men Microsoft utstedte ikke rettelser for de to uopprettet Exchange Server null-dagers feil som kom frem i slutten av september.
I alt for oktober ga Microsoft ut oppdateringer for 85 CVE-er, inkludert 15 kritiske feil. Berørte produkter kjører spekteret av produktporteføljen som vanlig: Microsoft Windows og Windows-komponenter; Azure, Azure Arc og Azure DevOps; Microsoft Edge (Chromium-basert); Kontor og kontorkomponenter; Visual Studio Code; Active Directory Domain Services og Active Directory Certificate Services; Nu Get Client; Hyper-V; og Windows Resilient File System (ReFS).
Disse kommer i tillegg til 11 patcher for Microsoft Edge (Chromium-basert) og en patch for sidekanalspekulasjon i ARM-prosessorer utgitt tidligere i måneden.
En perfekt 10: Sjelden ultrakritisk vuln
10-av-10-feilen (CVE-2022-37968) er et problem med rettighetsutvidelse (EoP) og ekstern kodekjøring (RCE) som kan tillate en uautentisert angriper å få administrativ kontroll over Azure Arc-aktiverte Kubernetes-klynger; det kan også påvirke Azure Stack Edge-enheter.
Mens nettangripere må kjenne til det tilfeldig genererte DNS-endepunktet for at en Azure Arc-aktivert Kubernetes-klynge skal lykkes, har utnyttelse en stor gevinst: De kan heve privilegiene sine til klyngeadministrator og potensielt få kontroll over Kubernetes-klyngen.
"Hvis du bruker denne typen containere med en versjon lavere enn 1.5.8, 1.6.19, 1.7.18 og 1.8.11 og de er tilgjengelige fra Internett, oppgrader umiddelbart," Mike Walters, visepresident for sårbarhet og trusselforskning ved Action1, advart via e-post.
Et par (kanskje en triade) med Zero-Day Patcher – men ikke DISSE patchene
Den nye zero-day bekreftet som under aktiv utnyttelse (CVE-2022-41033) er et EoP-sårbarhet i Windows COM+ Event System Service. Den har en CVSS-poengsum på 7.8.
Windows COM+ Event System Service lanseres som standard med operativsystemet og er ansvarlig for å gi varsler om pålogginger og utlogginger. Alle versjoner av Windows som starter med Windows 7 og Windows Server 2008 er sårbare, og et enkelt angrep kan føre til å få SYSTEM-privilegier, advarte forskere.
"Siden dette er en privilegieeskaleringsfeil, er den sannsynligvis sammenkoblet med andre kodeutførelsesutnyttelser designet for å overta et system," bemerket Dustin Childs, fra Zero Day Initiative (ZDI), i en analyse i dag. «Denne typene angrep involverer ofte en eller annen form for sosial ingeniørkunst, for eksempel å lokke en bruker til å åpne et vedlegg eller bla til et ondsinnet nettsted. Til tross for nesten konstant anti-phishing-trening, spesielt under 'Måneden for bevissthet om cybersikkerhet," folk har en tendens til å klikke på alt, så test og distribuer denne løsningen raskt."
Satnam Narang, senior forskningsingeniør ved Tenable, bemerket i en e-post oppsummering at en autentisert angriper kunne kjøre en spesiallaget applikasjon for å utnytte feilen og heve privilegier til SYSTEM.
«Selv om sikkerhetssårbarheter for utvidelse av privilegier krever at en angriper får tilgang til et system på andre måter, er de fortsatt et verdifullt verktøy i en angripers verktøykasse, og denne månedens Patch Tuesday har ingen mangel på rettighetsutvidelse, ettersom Microsoft lappet 39 , som står for nesten halvparten av feilene som er lappet (46.4 %),» sa han.
Dette spesielle EoP-problemet bør gå til lederen av linjen for patching, ifølge Action1s Walters.
"Installering av den nylig utgitte oppdateringen er obligatorisk; Ellers kan en angriper som er logget på en gjeste- eller vanlig brukerdatamaskin raskt få SYSTEM-privilegier på det systemet og være i stand til å gjøre nesten hva som helst med det," skrev han i en e-postanalyse. "Denne sårbarheten er spesielt viktig for organisasjoner hvis infrastruktur er avhengig av Windows Server."
Den andre bekreftet offentlig kjent feil (CVE-2022-41043) er et problem med informasjonsavsløring i Microsoft Office for Mac som har en lav CVSS-risikovurdering på bare 4 av 10.
Waters pekte på et annet potensielt utnyttet zero-day: et eksternt kodeutførelsesproblem (RCE) i SharePoint Server (CVE-2022-41036, CVSS 8.8) som påvirker alle versjoner som starter med SharePoint 2013 Service Pack 1.
"I et nettverksbasert angrep kan en autentisert motstander med tillatelser for administrering av liste kjøre kode eksternt på SharePoint Server og eskalere til administrative tillatelser," sa han.
Viktigst, "Microsoft rapporterer at en utnyttelse sannsynligvis allerede er opprettet og blir brukt av hackergrupper, men det er ingen bevis for dette ennå," sa han. "Likevel er denne sårbarheten verdt å ta på alvor hvis du har en SharePoint Server som er åpen for internett."
Ingen ProxyNotShell-oppdateringer
Det skal bemerkes at dette ikke er de to null-dagers lappene som forskerne forventet; disse feilene, CVE-2022-41040 og CVE-2022-41082, også kjent som ProxyNotShell, forbli uadressert. Når de er lenket sammen, kan de tillate RCE på Exchange-servere.
"Det som kan være mer interessant er det som ikke er inkludert i denne månedens utgivelse. Det er ingen oppdateringer for Exchange Server, til tross for at to Exchange-feil ble aktivt utnyttet i minst to uker», skrev Childs. "Disse feilene ble kjøpt av ZDI i begynnelsen av september og rapportert til Microsoft på den tiden. Uten tilgjengelige oppdateringer for å løse disse feilene fullt ut, er det beste administratorer kan gjøre å sørge for at september … Kumulativ oppdatering (CU) er installert.”
"Til tross for store forhåpninger om at dagens Patch Tuesday-utgivelse ville inneholde rettinger for sårbarhetene, mangler Exchange Server påfallende fra den første listen over sikkerhetsoppdateringer fra oktober 2022," sier Caitlin Condon, seniorleder for sårbarhetsforskning hos Rapid7. "Microsofts anbefalte regel for blokkering av kjente angrepsmønstre har blitt forbigått flere ganger, og understreker nødvendigheten av en ekte løsning."
Fra begynnelsen av september observerte Rapid7 Labs opptil 191,000 443 potensielt sårbare tilfeller av Exchange Server eksponert for Internett via port XNUMX, legger hun til. Imidlertid, i motsetning til ProxyShell
og ProxyLogon
utnyttelseskjeder, krever denne gruppen av feil at en angriper har autentisert nettverkstilgang for vellykket utnyttelse.
"Så langt har angrepene vært begrenset og målrettet," sier hun og legger til, "Det er usannsynlig at det vil fortsette etter hvert som tiden går og trusselaktører har større mulighet til å få tilgang og finpusse utnyttelseskjeder. Vi vil nesten helt sikkert se ytterligere sårbarheter etter autentisering utgitt i løpet av de kommende månedene, men den virkelige bekymringen ville være en uautentisert angrepsvektor som dukker opp når IT- og sikkerhetsteam implementerer kodefrysing ved slutten av året.»
Administratorer Merk: Andre feil å prioritere
Når det gjelder andre problemer å prioritere, flagget ZDIs Childs to Windows Client Server Run-time Subsystem (CSRSS) EoP-feil sporet som CVE-2022-37987
og CVE-2022-37989
(begge 7.8 CVSS).
"CVS-2022-37989 er en mislykket oppdatering for CVE-2022-22047, en tidligere feil som så en viss utnyttelse i naturen," forklarte han. "Denne sårbarheten skyldes at CSRSS er for skånsom med å akseptere innspill fra ikke-klarerte prosesser. Derimot er CVE-2022-37987 et nytt angrep som fungerer ved å lure CSRSS til å laste avhengighetsinformasjon fra et usikret sted.»
Også bemerkelsesverdig: Ni CVE-er kategorisert som RCE-feil med kritisk alvorlighetsgrad ble også rettet i dag, og syv av dem påvirker Point-to-Point Tunneling Protocol, ifølge Greg Wiseman, produktsjef hos Rapid7. "[Disse] krever at en angriper vinner et løp for å utnytte dem," bemerket han via e-post.
Automox-forsker Jay Goodman legger til det CVE-2022-38048 (CVSS 7.8) påvirker alle støttede versjoner av Office, og de kan tillate en angriper å ta kontroll over et system «hvor de vil stå fritt til å installere programmer, se eller endre data, eller opprette nye kontoer på målsystemet med fulle brukerrettigheter ." Mens sårbarheten er mindre sannsynlig å bli utnyttet, er angrepskompleksiteten ifølge Microsoft oppført som lav.
Og til slutt, Gina Geisel, også en Automox-forsker, advarer om det CVE-2022-38028
(CVSS 7.8), en Windows Print Spooler EoP-feil, som en sårbarhet med lav privilegium og lav kompleksitet som ikke krever brukerinteraksjon.
"En angriper må logge på et berørt system og kjøre et spesiallaget skript eller applikasjon for å få systemprivilegier," bemerker hun. "Eksempler på disse angriperrettighetene inkluderer installasjon av programmer; endre, endre og slette data; opprette nye kontoer med fulle brukerrettigheter; og beveger seg sideveis rundt nettverk."
