CISA oppfordrer til oppdatering av utnyttet Windows 11-feil innen 2. august

En Windows 11-sårbarhet, en del av Microsofts Patch Tuesday-oppsummering av rettelser, blir utnyttet i naturen, noe som får US Cybersecurity and Infrastructure Security Agency (CISA) til å gi råd om oppdatering av rettighetshevingsfeil innen 2. august.

Anbefalingen er rettet mot føderale byråer og bekymringer CVE-2022-22047, en sårbarhet som har en CVSS-score på høy (7.8) og avslører Windows Client Server Runtime Subsystem (CSRSS) brukt i Windows 11 (og tidligere versjoner som dateres tilbake til 7) og også Windows Server 2022 (og tidligere versjoner 2008, 2012, 2016 og 2019) for å angripe.

[GRATIS arrangement på forespørsel: Bli med Keeper Securitys Zane Bond i et Threatpost-rundtbord og lær hvordan du får sikker tilgang til maskinene dine fra hvor som helst og deler sensitive dokumenter fra hjemmekontoret ditt. SE HER.]

CSRSS-feilen er et sikkerhetsproblem som gjør at motstandere med et forhåndsetablert fotfeste på et målrettet system kan kjøre kode som en uprivilegert bruker. Da feilen først ble rapportert av Microsofts eget sikkerhetsteam tidligere denne måneden, ble den klassifisert som en nulldager, eller en kjent feil uten oppdatering. Den oppdateringen ble gjort tilgjengelig på Tirsdag 5. juli.

Forskere ved FortiGuard Labs, en avdeling av Fortinet, sa at trusselen feilen utgjør for virksomheten er "middels". I en bulletin forklarer forskere den nedgraderte vurderingen fordi en motstander trenger avansert "lokal" eller fysisk tilgang til det målrettede systemet for å utnytte feilen og en patch er tilgjengelig.

Når det er sagt, kan en angriper som tidligere har fått ekstern tilgang til et datasystem (via malware-infeksjon) utnytte sårbarheten eksternt.

"Selv om det ikke er ytterligere informasjon om utnyttelse utgitt av Microsoft, kan det antas at en ukjent ekstern kjøring av kode tillot en angriper å utføre sideveis bevegelse og eskalere privilegier på maskiner som er sårbare for CVE-2022-22047, noe som til slutt tillater SYSTEM-privilegier, ” skrev FortiGuard Labs.

Inngangspunkter for Office og Adobe Documents

Mens sårbarheten blir aktivt utnyttet, er det ingen kjente offentlige bevis på konseptutnyttelse i naturen som kan brukes til å dempe eller noen ganger gi drivstoff til angrep, ifølge en rapport fra The Record.

"Sårbarheten lar en angriper kjøre kode som SYSTEM, forutsatt at de kan kjøre annen kode på målet," skrev Trend Micros Zero Day Initiative (ZDI) i sin Patch Tuesday oppsummering forrige uke.

"Bugs av denne typen er vanligvis sammenkoblet med en kodeutførelsesfeil, vanligvis et spesiallaget Office- eller Adobe-dokument, for å overta et system. Disse angrepene er ofte avhengige av makroer, og det er grunnen til at så mange ble motløse over å høre Microsofts forsinkelse med å blokkere alle Office-makroer som standard,» skrev ZDI-forfatter Dustin Childs.

Microsoft sa nylig at det ville blokkere bruken av Visual Basic for Applications (VBA)-makroer som standard i noen av Office-appene, men det er ingen tidslinje for å håndheve policyen.

CISA la til Microsoft-feilen til kjørelisten av kjente utnyttede sårbarheter den 7. juli (søk «CVE-2022-22047» for å finne oppføringen) og anbefaler ganske enkelt «bruk oppdateringer i henhold til leverandørens instruksjoner».

[GRATIS arrangement på forespørsel: Bli med Keeper Securitys Zane Bond i et Threatpost-rundtbord og lær hvordan du får sikker tilgang til maskinene dine fra hvor som helst og deler sensitive dokumenter fra hjemmekontoret ditt. SE HER.]

Bilde: Med tillatelse fra Microsoft