CISA призывает исправить эксплуатируемую ошибку Windows 11 до 2 августа

Уязвимость в Windows 11, являющаяся частью сводки исправлений Microsoft, выпущенной во вторник, активно эксплуатируется, что побудило Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) порекомендовать исправить ошибку, связанную с повышением привилегий, ко 2 августа.

Рекомендация адресована федеральным агентствам и концернам. CVE-2022-22047, уязвимость с высокой оценкой CVSS (7.8) и подвергающая риску подсистему выполнения клиентского сервера Windows (CSRSS), используемую в Windows 11 (и более ранних версиях, начиная с 7), а также Windows Server 2022 (и более ранних версиях 2008, 2012, 2016). и 2019) для атаки.

[БЕСПЛАТНОЕ мероприятие по запросу: Присоединяйтесь к Зейну Бонду из Keeper Security на круглом столе Threatpost и узнайте, как получить безопасный доступ к своим компьютерам из любого места и поделиться конфиденциальными документами из домашнего офиса. СМОТРЕТЬ ЗДЕСЬ.]

Ошибка CSRSS — это уязвимость повышения привилегий, которая позволяет злоумышленникам с заранее установленным плацдармом в целевой системе выполнять код от имени непривилегированного пользователя. Когда об ошибке впервые сообщила собственная служба безопасности Microsoft в начале этого месяца, она была классифицирована как ошибка нулевого дня или известная ошибка, для которой не было исправления. Этот патч был доступен на Вторник Июль 5.

Исследователи из FortiGuard Labs, подразделения Fortinet, заявили, что угроза, которую эта ошибка представляет для бизнеса, является «средней». В бюллетене исследователи объясняют пониженный рейтинг, потому что злоумышленнику требуется расширенный «локальный» или физический доступ к целевой системе для использования ошибки, и доступно исправление.

При этом злоумышленник, который ранее получил удаленный доступ к компьютерной системе (путем заражения вредоносным ПО), может удаленно использовать уязвимость.

«Хотя Microsoft не предоставила дополнительной информации об уязвимостях, можно предположить, что неизвестное удаленное выполнение кода позволило злоумышленнику выполнить боковое перемещение и повысить привилегии на машинах, уязвимых для CVE-2022-22047, что в конечном итоге позволило получить СИСТЕМНЫЕ привилегии. — написала FortiGuard Labs.

Точки входа в Office и Adobe Documents

Хотя уязвимость активно эксплуатируется, нет известных публичных доказательств концептуальных эксплойтов в дикой природе, которые можно было бы использовать для смягчения или иногда подпитки атак. репортаж The Record.

«Уязвимость позволяет злоумышленнику выполнять код как СИСТЕМНЫЙ, при условии, что он может выполнять другой код на цели», — пишет Trend Micro. Инициатива нулевого дня (ZDI) во вторник исправлений обзор на прошлой неделе.

«Ошибки этого типа обычно сочетаются с ошибкой выполнения кода, обычно это специально созданный документ Office или Adobe, чтобы захватить систему. Эти атаки часто основаны на макросах, поэтому многие были разочарованы, услышав о задержке Microsoft с блокировкой всех макросов Office по умолчанию», — написал автор ZDI Дастин Чайлдс.

Microsoft недавно заявила, что будет блокировать использование макросов Visual Basic для приложений (VBA) по умолчанию в некоторых своих приложениях Office, однако не устанавливает временной шкалы для применения политики.

CISA добавил ошибку Microsoft в свой рабочий список об известных эксплуатируемых уязвимостях 7 июля (выполните поиск «CVE-2022-22047», чтобы найти запись) и рекомендует просто «применять обновления в соответствии с инструкциями поставщика».

[БЕСПЛАТНОЕ мероприятие по запросу: Присоединяйтесь к Зейну Бонду из Keeper Security на круглом столе Threatpost и узнайте, как получить безопасный доступ к своим компьютерам из любого места и поделиться конфиденциальными документами из домашнего офиса. СМОТРЕТЬ ЗДЕСЬ.]

Изображение: предоставлено Microsoft