Microsoft zajmuje się zero-days, ale łańcuch exploitów Exchange Server pozostaje bez poprawek

W swojej wtorkowej aktualizacji październikowej poprawki firma Microsoft zajęła się krytyczną luką w zabezpieczeniach w swojej usłudze w chmurze Azure, uzyskując rzadką ocenę 10 na 10 w skali ważności luki CVSS.

Gigant technologiczny załatał również dwa „ważne” błędy zero-day, z których jeden jest aktywnie wykorzystywany na wolności; a ponadto może istnieć trzeci problem, w programie SharePoint, który również jest aktywnie wykorzystywany.

Warto jednak zauważyć, że Microsoft nie wydał poprawek dla tych dwóch niezałatane błędy dnia zerowego programu Exchange Server które wyszło na jaw pod koniec września.

W sumie na październik Microsoft wydał łatki dla 85 CVE, w tym 15 krytycznych błędów. Produkty, których dotyczy ten problem, działają jak zwykle w całej gamie produktów: Microsoft Windows i Windows Components; Azure, Azure Arc i Azure DevOps; Microsoft Edge (na bazie chromu); Komponenty biurowe i biurowe; Kod programu Visual Studio; Usługi domenowe w usłudze Active Directory i usługi certyfikatów w usłudze Active Directory; Klient Nu Get; Hyper-V; oraz Odporny System Plików Windows (ReFS).

Jest to dodatek do 11 łatek dla Microsoft Edge (opartego na Chromium) oraz łatki do spekulacji kanałów bocznych w procesorach ARM, które zostały wydane na początku tego miesiąca.

Idealna 10: Rzadka ultrakrytyczna luka

Błąd 10 na 10 (CVE-2022-37968) to problem dotyczący podniesienia uprawnień (EoP) i zdalnego wykonywania kodu (RCE), który może umożliwić nieuwierzytelnionej osobie atakującej uzyskanie kontroli administracyjnej nad klastrami Kubernetes z obsługą usługi Azure Arc; może to również wpłynąć na urządzenia Azure Stack Edge.

Podczas gdy cyberatakujący musieliby znać losowo wygenerowany punkt końcowy DNS, aby klaster Kubernetes z obsługą Azure Arc odniósł sukces, wykorzystanie go przynosi dużą korzyść: mogą podnieść swoje uprawnienia na administratora klastra i potencjalnie przejąć kontrolę nad klastrem Kubernetes.

„Jeśli używasz tego typu kontenerów w wersji niższej niż 1.5.8, 1.6.19, 1.7.18 i 1.8.11 i są one dostępne w Internecie, natychmiast zaktualizuj” – Mike Walters, wiceprezes ds. luk w zabezpieczeniach i badania zagrożeń w Action1, ostrzegane w wiadomości e-mail.

Para (może triada) plastrów zero-day – ale nie TYCH plastrów

Nowy dzień zerowy potwierdzony jako będący pod aktywnym exploitem (CVE-2022-41033) to luka EoP w usłudze systemu zdarzeń systemu Windows COM+. Posiada wynik 7.8 CVSS.

Usługa systemu zdarzeń Windows COM+ jest domyślnie uruchamiana z systemem operacyjnym i odpowiada za dostarczanie powiadomień o logowaniu i wylogowywaniu. Wszystkie wersje systemu Windows, począwszy od Windows 7 i Windows Server 2008, są podatne na ataki, a prosty atak może prowadzić do uzyskania uprawnień SYSTEM, ostrzegają badacze.

„Ponieważ jest to błąd związany z eskalacją uprawnień, prawdopodobnie jest on połączony z innymi exploitami służącymi do wykonywania kodu, które mają na celu przejęcie systemu”, zauważył Dustin Childs z Zero Day Initiative (ZDI). analiza dzisiaj. „Tego typu ataki często obejmują jakąś formę socjotechniki, taką jak nakłanianie użytkownika do otwarcia załącznika lub odwiedzenia złośliwej witryny internetowej. Pomimo niemal nieustannego treningu antyphishingowego, zwłaszcza podczas „Miesiąc świadomości bezpieczeństwa cybernetycznego”, ludzie mają tendencję do klikania wszystkiego, więc szybko przetestuj i wdróż tę poprawkę”.

Satnam Narang, starszy inżynier ds. badań w firmie Tenable, zauważył w e-mailowym podsumowaniu, że uwierzytelniony atakujący może uruchomić specjalnie spreparowaną aplikację w celu wykorzystania błędu i podniesienia uprawnień do SYSTEMU.

„Podczas gdy luki w zabezpieczeniach związane z podniesieniem uprawnień wymagają od atakującego uzyskania dostępu do systemu w inny sposób, nadal są one cennym narzędziem w zestawie narzędzi atakującego, a we wtorkowej poprawce z tego miesiąca nie brakuje luk związanych z podnoszeniem uprawnień, ponieważ Microsoft załatał 39 , co stanowi prawie połowę załatanych błędów (46.4%)” – powiedział.

Według Waltersa z Action1 ten konkretny problem EoP powinien trafić do czołówki linii do łatania.

„Zainstalowanie nowo wydanej łatki jest obowiązkowe; w przeciwnym razie atakujący, który jest zalogowany na komputerze gościa lub zwykłego użytkownika, może szybko uzyskać uprawnienia SYSTEMOWE w tym systemie i być w stanie zrobić z nim prawie wszystko” – napisał w analizie przesłanej pocztą elektroniczną. „Ta luka jest szczególnie istotna w przypadku organizacji, których infrastruktura opiera się na systemie Windows Server”.

Drugi potwierdzony publicznie znany błąd (CVE-2022-41043) to problem związany z ujawnianiem informacji w pakiecie Microsoft Office dla komputerów Mac, który ma niską ocenę ryzyka CVSS wynoszącą zaledwie 4 na 10.

Waters wskazał na inny potencjalnie wykorzystany dzień zerowy: problem ze zdalnym wykonaniem kodu (RCE) w SharePoint Server (CVE-2022-41036, CVSS 8.8), który ma wpływ na wszystkie wersje, począwszy od dodatku Service Pack 2013 dla programu SharePoint 1.

„W ataku sieciowym uwierzytelniony przeciwnik z uprawnieniami do zarządzania listą może zdalnie wykonać kod na serwerze SharePoint i uzyskać uprawnienia administracyjne” — powiedział.

Co najważniejsze, „Microsoft zgłasza, że ​​exploit prawdopodobnie już został stworzony i jest wykorzystywany przez grupy hakerów, ale nie ma na to jeszcze dowodu” – powiedział. „Niemniej jednak tę lukę warto potraktować poważnie, jeśli masz serwer SharePoint Server otwarty z Internetem”.

Brak poprawek ProxyNotShell

Należy zauważyć, że nie są to dwie łatki dnia zerowego, których oczekiwali badacze; te błędy, CVE-2022-41040 i CVE-2022-41082, znany również jako ProxyNotShell, pozostają bezadresowe. Po połączeniu razem, mogą zezwolić na RCE na serwerach Exchange.

„Co może być bardziej interesujące, to to, czego nie ma w wydaniu z tego miesiąca. Nie ma aktualizacji dla Exchange Server, mimo że dwa błędy Exchange są aktywnie wykorzystywane przez co najmniej dwa tygodnie” – napisał Childs. „Błędy te zostały zakupione przez ZDI na początku września i wówczas zgłoszone do Microsoftu. Ponieważ nie ma dostępnych aktualizacji, które w pełni naprawią te błędy, najlepszymi administratorami, co mogą zrobić, jest upewnienie się, że wrześniowa… aktualizacja zbiorcza (CU) jest zainstalowana.”

„Pomimo wielkich nadziei, że dzisiejsza wtorkowa łata będzie zawierać poprawki dla luk, Exchange Server wyraźnie brakuje na początkowej liście aktualizacji zabezpieczeń z października 2022 roku” – mówi Caitlin Condon, starszy kierownik ds. badań luk w Rapid7. „Zalecana przez firmę Microsoft reguła blokowania znanych wzorców ataków została wielokrotnie ominięta, co podkreśla konieczność wprowadzenia prawdziwej poprawki”.

Dodaje, że na początku września Rapid7 Labs zaobserwowało do 191,000 443 potencjalnie podatnych na ataki instancji Exchange Server, które były narażone na Internet przez port XNUMX. Jednak w przeciwieństwie do Powłoka proxy
i ProxyLogowanie
exploitów, ta grupa błędów wymaga od atakującego uwierzytelnionego dostępu do sieci w celu pomyślnego wykorzystania.

„Do tej pory ataki były ograniczone i ukierunkowane” — mówi, dodając: „To raczej nie będzie trwać w miarę upływu czasu, a cyberprzestępcy mają więcej możliwości uzyskania dostępu i udoskonalenia łańcuchów exploitów. Prawie na pewno zobaczymy dodatkowe luki w zabezpieczeniach po uwierzytelnieniu w nadchodzących miesiącach, ale prawdziwym problemem będzie pojawienie się nieuwierzytelnionego wektora ataku, gdy zespoły IT i bezpieczeństwa wdrożą zamrażanie kodu na koniec roku”.

Uwaga dla administratorów: inne błędy do ustalenia priorytetów

Jeśli chodzi o inne problemy, które należy potraktować priorytetowo, firma ZDI Childs oznaczyła dwa błędy EoP podsystemu Windows Client Server Run-time Subsystem (CSRSS) śledzone jako CVE-2022-37987
i CVE-2022-37989
(oba 7.8 CVSS).

„CVS-2022-37989 to nieudana łatka dla CVE-2022-22047, wcześniejszego błędu, który dostrzegł pewne wykorzystanie na wolności” – wyjaśnił. „Ta luka wynika z tego, że CSRSS jest zbyt pobłażliwy w przyjmowaniu danych wejściowych z niezaufanych procesów. Natomiast CVE-2022-37987 to nowy atak, który działa poprzez oszukiwanie CSRSS w celu załadowania informacji o zależnościach z niezabezpieczonej lokalizacji”.

Warto również zauważyć: dziewięć CVE sklasyfikowanych jako błędy RCE o krytycznym znaczeniu również zostało dzisiaj załatanych, a siedem z nich wpływa na protokół tunelowania Point-to-Point, według Grega Wisemana, menedżera produktu w Rapid7. „[Te] wymagają od atakującego wygrania wyścigu, aby je wykorzystać”, zauważył w e-mailu.

Badacz Automox Jay Goodman dodaje, że CVE-2022-38048 (CVSS 7.8) wpływa na wszystkie obsługiwane wersje pakietu Office i może umożliwić atakującemu przejęcie kontroli nad systemem, „w którym mógłby swobodnie instalować programy, przeglądać lub zmieniać dane lub tworzyć nowe konta w systemie docelowym z pełnymi prawami użytkownika ”. Chociaż prawdopodobieństwo wykorzystania luki jest mniejsze, według Microsoftu złożoność ataku jest oceniana jako niska.

I wreszcie Gina Geisel, również badaczka Automox, ostrzega, że CVE-2022-38028
(CVSS 7.8), błąd Windows Print Spooler EoP, jako luka o niskim poziomie uprawnień i złożoności, która nie wymaga interakcji użytkownika.

„Atakujący musiałby zalogować się do systemu, którego dotyczy problem, i uruchomić specjalnie spreparowany skrypt lub aplikację, aby uzyskać uprawnienia systemowe” — zauważa. „Przykłady tych uprawnień atakującego obejmują instalowanie programów; modyfikowanie, zmienianie i usuwanie danych; tworzenie nowych kont z pełnymi uprawnieniami użytkownika; i poruszanie się na boki po sieciach”.