Microsoft eliminuje aktywnie wykorzystywane błędy dnia zerowego w grudniowej aktualizacji

Firma Microsoft wydała poprawki dotyczące 48 nowych luk w zabezpieczeniach swoich produktów, w tym jedną, którą atakujący aktywnie wykorzystują, oraz inną, która została ujawniona publicznie, ale nie jest obecnie aktywnie wykorzystywana.

Sześć luk, które firma załatała w ostatniej miesięcznej aktualizacji zabezpieczeń na ten rok, jest wymienionych jako krytyczne. Przypisał ważną ocenę dotkliwości 43 lukom w zabezpieczeniach, a trzem lukom dał umiarkowaną ocenę dotkliwości. 

Aktualizacja Microsoftu zawiera łatki dla CVE poza pasmem, które usuwał w ciągu ostatniego miesiąca, a także 23 luki w technologii przeglądarki Google Chromium, na której oparta jest przeglądarka Microsoft Edge.

Aktywnie wykorzystywany błąd bezpieczeństwa

Luka, którą atakujący aktywnie wykorzystują (CVE-2022-44698) nie należy do bardziej krytycznych błędów, dla których Microsoft wydał dzisiaj poprawki. Luka umożliwia atakującym obejście funkcji zabezpieczeń Windows SmartScreen w celu ochrony użytkowników przed złośliwymi plikami pobranymi z Internetu. 

„Atakujący może stworzyć złośliwy plik, który ominie zabezpieczenia Mark of the Web (MOTW), powodując ograniczoną utratę integralności i dostępności funkcji bezpieczeństwa, takich jak widok chroniony w pakiecie Microsoft Office, które opierają się na tagowaniu MOTW” — powiedział Microsoft.

CVE-2022-44698 stanowi stosunkowo niewielkie ryzyko dla organizacji, mówi Kevin Breen, dyrektor ds. badań nad cyberzagrożeniami w Immersive Labs. „Musi być używany w powiązaniu z plikiem wykonywalnym lub innym złośliwym kodem, takim jak dokument lub plik skryptu” — mówi Breen. „W takich sytuacjach to CVE omija niektóre wbudowane funkcje skanowania i wykrywania reputacji firmy Microsoft — a mianowicie SmartScreen, który normalnie wyskakuje, aby powiedzieć użytkownikowi, że plik może nie być bezpieczny”. 

Jednocześnie użytkownicy nie powinni lekceważyć zagrożenia i powinni szybko załatać problem, zaleca Breen.

Microsoft opisał kolejną wadę — problem z podniesieniem uprawnień w jądrze grafiki DirectX — jako publicznie znaną lukę dnia zerowego, ale nie jest ona aktywna. Firma oceniła podatność (CVE-2022-44710) jako „ważny” pod względem istotności i taki, który pozwoliłby atakującemu uzyskać uprawnienia na poziomie systemu, gdyby został wykorzystany. Jednak firma określiła tę lukę jako taką, którą atakujący są mniej skłonni do wykorzystania.

Luki w zabezpieczeniach do załatania teraz

ZDI firmy Trend Micro oznaczyło trzy inne luki w grudniowej aktualizacji zabezpieczeń jako znaczące: CVE-2022-44713, CVE-2022-41076, CVE-2022-44699.

CVE-2022-44713 to luka umożliwiająca fałszowanie w programie Microsoft Outlook dla komputerów Mac. Ta luka w zabezpieczeniach pozwala atakującemu wyglądać jak zaufany użytkownik i spowodować, że ofiara pomyli wiadomość e-mail, tak jakby pochodziła od legalnego użytkownika. 

„Często nie zwracamy uwagi na błędy fałszowania, ale za każdym razem, gdy masz do czynienia z błędem fałszowania w kliencie poczty e-mail, powinieneś zwrócić na to uwagę” — Dustin Childs, szef ds. świadomości zagrożeń w ZDI powiedział w poście na blogu. Powiedział, że luka może okazać się szczególnie kłopotliwa w połączeniu ze wspomnianą wadą obejścia SmartScreen MoTW, którą aktywnie wykorzystują napastnicy.

CVE-2022-41076 to luka umożliwiająca zdalne wykonanie kodu (RCE) PowerShell, która umożliwia uwierzytelnionemu atakującemu wyjście z konfiguracji sesji zdalnej PowerShell i uruchomienie dowolnych poleceń w systemie, którego dotyczy luka, powiedział Microsoft. 

Firma oceniła tę lukę jako coś, co jest bardziej prawdopodobne dla atakujących, mimo że sama złożoność ataku jest wysoka. Zdaniem Childsa organizacje powinny zwrócić uwagę na tę lukę, ponieważ jest to rodzaj luki, którą atakujący często wykorzystują, gdy chcą „żyć z ziemi” po uzyskaniu wstępnego dostępu do sieci. 

„Zdecydowanie nie ignorujcie tej łatki” — napisał Childs.

I wreszcie CVE-2022-44699 to kolejna luka umożliwiająca obejście zabezpieczeń — tym razem w agencie Azure Network Watcher - które, jeśli zostaną wykorzystane, mogą wpłynąć na zdolność organizacji do przechwytywania dzienników potrzebnych do reagowania na incydenty. 

„Może niewiele przedsiębiorstw polega na tym narzędziu, ale dla tych, którzy używają tego rozszerzenia maszyny wirtualnej [Azure Network Watcher], ta poprawka powinna być traktowana jako krytyczna i szybko wdrażana” — powiedział Childs.

Badacze z Cisco Talos zidentyfikował trzy inne luki w zabezpieczeniach jako krytyczne i problemy, którymi organizacje muszą się natychmiast zająć. Jednym z nich jest CVE-2022-41127, luka RCE, która dotyczy Microsoft Dynamics NAV i lokalnych wersji Microsoft Dynamics 365 Business Central. Udany exploit może pozwolić atakującemu na wykonanie dowolnego kodu na serwerach z aplikacją Microsoft Dynamics NAV ERP, stwierdzili badacze Talos w poście na blogu. 

Pozostałe dwie luki, które dostawca uważa za bardzo ważne, to CVE-2022-44670 i CVE-2022-44676, z których oba są błędami RCE w protokole SSTP (Secure Socket Tunneling Protocol) systemu Windows. 

„Pomyślne wykorzystanie tych luk wymaga od atakującego wygrania wyścigu, ale może umożliwić atakującemu zdalne wykonanie kodu na serwerach RAS” — czytamy w poradniku Microsoftu.

Wśród luk w zabezpieczeniach, które Internetowe centrum burzy SANS zidentyfikowane jako ważne są (CVE-2022-41089), RCE w .NET Framework i (CVE-2022-44690) w Microsoft SharePoint Server.

W blogu, Mike Walters, wiceprezes ds. badań nad lukami w zabezpieczeniach i zagrożeniami w Action1 Corp., również wskazał na podniesienie luki w zabezpieczeniach Windows Print Spooler (CVE-2022-44678), tak jak inny problem oglądać. 

„Nowo rozwiązany CVE-2022-44678 najprawdopodobniej zostanie wykorzystany, co prawdopodobnie jest prawdą, ponieważ Microsoft naprawił kolejną lukę dnia zerowego związaną z buforem wydruku w zeszłym miesiącu” – powiedział Walters. „Ryzyko związane z luką CVE-2022-44678 jest takie samo: osoba atakująca może uzyskać uprawnienia SYSTEMU po udanej eksploatacji - ale tylko lokalnie”.

Myląca liczba błędów

Co ciekawe, kilku dostawców miało różne podejście do liczby luk, które Microsoft załatał w tym miesiącu. Na przykład ZDI oceniło, że Microsoft załatał 52 luki w zabezpieczeniach; Talos ustalił liczbę na 48, SANS na 74, a Action1 początkowo zlecił Microsoftowi załatanie 74, zanim obniżył ją do 52.

Johannes Ullrich, dziekan ds. badań w SANS Technology Institute, mówi, że problem dotyczy różnych sposobów liczenia luk w zabezpieczeniach. Niektóre, na przykład, uwzględniają luki w zabezpieczeniach Chromium, podczas gdy inne nie. 

Inne, takie jak SANS, zawierają również porady dotyczące bezpieczeństwa, które czasami towarzyszą aktualizacjom firmy Microsoft jako luki w zabezpieczeniach. Microsoft czasami wydaje łatki w ciągu miesiąca, które zawiera również w następnej aktualizacji Patch Tuesday, a niektórzy badacze ich nie liczą. 

„Liczba poprawek może czasami być myląca, ponieważ cykl Patch Tuesday trwa technicznie od listopada do grudnia, więc obejmuje to również łatki, które zostały wydane poza pasmem na początku miesiąca, a także może obejmować aktualizacje od dostawców zewnętrznych” — mówi Breen . „Najbardziej godnymi uwagi z nich są łatki od Google z Chromium, który jest podstawą przeglądarki Microsoft Edge”.
Breen twierdzi, że od ostatniego wtorku w listopadzie załatano 74 luki w zabezpieczeniach. Obejmuje to 51 od Microsoftu i 23 od Google dla przeglądarki Edge. 

„Jeżeli wykluczymy [łaty] poza pasmem i Google Chromium, dzisiaj wydano 49 łat usuwających luki” — mówi.

Rzecznik Microsoftu powiedział, że liczba nowych CVE, dla których firma wydała dziś łatki, wyniosła 48.