CISA wzywa do łatania luki w systemie Windows 11 do 2 sierpnia

Luka w systemie Windows 11, będąca częścią zestawienia poprawek firmy Microsoft we wtorek, jest wykorzystywana na wolności, co skłania amerykańską Agencję ds. Bezpieczeństwa ds. Cyberbezpieczeństwa i Infrastruktury (CISA) do zalecenia załatania do 2 sierpnia luki związanej z podniesieniem uprawnień.

Rekomendacja skierowana jest do agencji federalnych i obaw CVE-2022-22047, luka, która ma wysoki wynik CVSS (7.8) i ujawnia podsystem Windows Client Server Runtime Subsystem (CSRSS) używany w systemie Windows 11 (i wcześniejszych wersjach sięgających 7) oraz Windows Server 2022 (i wcześniejszych wersjach 2008, 2012, 2016 i 2019) do ataku.

[BEZPŁATNE wydarzenie na żądanie: Dołącz do zespołu Zane Bond firmy Keeper Security w okrągłym stole Threatpost i dowiedz się, jak bezpiecznie uzyskiwać dostęp do swoich komputerów z dowolnego miejsca i udostępniać poufne dokumenty z domowego biura. OBEJRZYJ TUTAJ.]

Błąd CSRSS to luka w zabezpieczeniach umożliwiająca podniesienie uprawnień, która umożliwia przeciwnikom z wcześniej ustalonym przyczółkiem w docelowym systemie wykonanie kodu jako użytkownik nieuprzywilejowany. Kiedy błąd został po raz pierwszy zgłoszony przez własny zespół ds. bezpieczeństwa Microsoftu na początku tego miesiąca, został sklasyfikowany jako błąd dnia zerowego lub znany błąd bez poprawki. Ta łatka została udostępniona na Wtorek 5 lipca.

Badacze z FortiGuard Labs, oddziału firmy Fortinet, stwierdzili, że zagrożenie, jakie ten błąd stanowi dla biznesu, jest „średnie”. W biuletynie naukowcy wyjaśniają obniżona ocena, ponieważ przeciwnik potrzebuje zaawansowanego „lokalnego” lub fizycznego dostępu do docelowego systemu, aby wykorzystać błąd, a łatka jest dostępna.

To powiedziawszy, osoba atakująca, która wcześniej uzyskała zdalny dostęp do systemu komputerowego (poprzez infekcję złośliwym oprogramowaniem), może zdalnie wykorzystać tę lukę.

„Chociaż nie ma dalszych informacji na temat wykorzystywania przez Microsoft, można przypuszczać, że nieznane zdalne wykonanie kodu pozwoliło atakującemu na wykonanie ruchu bocznego i eskalację uprawnień na maszynach podatnych na CVE-2022-22047, ostatecznie pozwalając na uprawnienia SYSTEMOWE, ” napisał FortiGuard Labs.

Punkty wejścia dokumentów Office i Adobe

Chociaż luka jest aktywnie wykorzystywana, nie są znane publicznie dostępne exploity sprawdzające koncepcję, które można wykorzystać do łagodzenia, a czasem napędzania ataków, według raport The Record.

„Luka umożliwia atakującemu wykonanie kodu jako SYSTEM, pod warunkiem, że może wykonać inny kod na celu” — napisał Trend Micro Zero Day Initiative (ZDI) we wtorek w łatce podsumowanie w zeszłym tygodniu.

„Błędy tego typu są zwykle połączone z błędem wykonania kodu, zwykle specjalnie spreparowanym dokumentem Office lub Adobe, aby przejąć system. Ataki te często opierają się na makrach, dlatego tak wielu zniechęciło się, słysząc opóźnienie Microsoftu w domyślnym blokowaniu wszystkich makr pakietu Office” — napisał autor ZDI Dustin Childs.

Microsoft powiedział niedawno, że domyślnie zablokuje używanie makr Visual Basic for Applications (VBA) w niektórych swoich aplikacjach Office, jednak nie ustawiono żadnej osi czasu, aby egzekwować tę politykę.

CISA dodał błąd Microsoftu do swojej listy uruchomionej znanych wykorzystanych luk 7 lipca (wyszukaj wpis „CVE-2022-22047”, aby znaleźć wpis) i zaleca po prostu „zastosuj aktualizacje zgodnie z instrukcjami dostawcy”.

[BEZPŁATNE wydarzenie na żądanie: Dołącz do zespołu Zane Bond firmy Keeper Security w okrągłym stole Threatpost i dowiedz się, jak bezpiecznie uzyskiwać dostęp do swoich komputerów z dowolnego miejsca i udostępniać poufne dokumenty z domowego biura. OBEJRZYJ TUTAJ.]

Zdjęcie: dzięki uprzejmości Microsoft