CISA solicită o corecție a erorii Windows 11 exploatate până pe 2 august

O vulnerabilitate Windows 11, parte a rezumatului de corecții de la Microsoft Patch Tuesday, este exploatată în sălbăticie, determinând Agenția de Securitate Cibernetică și Infrastructură din SUA (CISA) să sfătuiască corectarea erorii de creștere a privilegiilor până pe 2 august.

Recomandarea se adresează agențiilor și preocupărilor federale CVE-2022-22047, o vulnerabilitate care are un scor CVSS de mare (7.8) și expune Windows Client Server Runtime Subsystem (CSRSS) utilizat în Windows 11 (și versiunile anterioare care datează de la 7) și, de asemenea, Windows Server 2022 (și versiunile anterioare 2008, 2012, 2016). și 2019) să atace.

[Eveniment GRATUIT la cerere: Alăturați-vă Zane Bond de la Keeper Security într-o masă rotundă Threatpost și aflați cum să vă accesați în siguranță mașinile de oriunde și să partajați documente sensibile de la biroul dvs. de acasă. VEZI AICI.]

Bug-ul CSRSS este o vulnerabilitate de privilegii care permite adversarilor cu un punct de sprijin prestabilit pe un sistem vizat să execute cod ca utilizator neprivilegiat. Când eroarea a fost raportată pentru prima dată de propria echipă de securitate a Microsoft, la începutul acestei luni, a fost clasificată drept zero-day sau o eroare cunoscută fără patch. Patch-ul a fost disponibil pe Marți, 5 iulie.

Cercetătorii de la FortiGuard Labs, o divizie a Fortinet, au spus că amenințarea pe care o reprezintă bug-ul pentru afaceri este „medie”. Într-un buletin, explică cercetătorii ratingul retrogradat deoarece un adversar are nevoie de acces „local” sau fizic avansat la sistemul vizat pentru a exploata eroarea și este disponibil un patch.

Acestea fiind spuse, un atacator care a obținut anterior acces de la distanță la un sistem informatic (prin infecție cu malware) ar putea exploata vulnerabilitatea de la distanță.

„Deși nu există informații suplimentare despre exploatare lansate de Microsoft, se poate presupune că o execuție de cod necunoscută de la distanță a permis unui atacator să efectueze mișcare laterală și să escaladeze privilegii pe mașinile vulnerabile la CVE-2022-22047, permițând în cele din urmă privilegii SISTEM. ” a scris FortiGuard Labs.

Puncte de intrare pentru documente Office și Adobe

În timp ce vulnerabilitatea este exploatată în mod activ, nu există nicio dovadă publică cunoscută a exploatărilor de concept în sălbăticie care să poată fi utilizate pentru a ajuta la atenuarea sau, uneori, pentru a alimenta atacurile, potrivit unui raport de The Record.

„Vulnerabilitatea permite unui atacator să execute cod ca SISTEM, cu condiția să poată executa alt cod pe țintă”, a scris Trend Micro. Zero Day Initiative (ZDI) în patch-ul său de marți rezumat săptămâna trecută.

„Erorile de acest tip sunt de obicei asociate cu o eroare de execuție a codului, de obicei un document Office sau Adobe special creat, pentru a prelua un sistem. Aceste atacuri se bazează adesea pe macrocomenzi, motiv pentru care atât de mulți au fost descurajați să audă întârzierea Microsoft în blocarea implicită a tuturor macrocomenzilor Office”, a scris autorul ZDI Dustin Childs.

Microsoft a declarat recent că va bloca utilizarea macrocomenzilor Visual Basic pentru aplicații (VBA) în mod implicit în unele dintre aplicațiile sale Office, însă nu a stabilit nicio cronologie pentru a aplica politica.

CISA a adăugat bug-ul Microsoft la lista de rulare a vulnerabilităților exploatate cunoscute pe 7 iulie (căutați „CVE-2022-22047” pentru a găsi intrarea) și recomandă pur și simplu „aplicați actualizări pe instrucțiunile furnizorului”.

[Eveniment GRATUIT la cerere: Alăturați-vă Zane Bond de la Keeper Security într-o masă rotundă Threatpost și aflați cum să vă accesați în siguranță mașinile de oriunde și să partajați documente sensibile de la biroul dvs. de acasă. VEZI AICI.]

Imagine: Prin amabilitatea Microsoft