CISA poziva k popravku izkoriščene napake v sistemu Windows 11 do 2. avgusta

Ranljivost sistema Windows 11, ki je del Microsoftovega torkovega pregleda popravkov, se izkorišča v divjini, zaradi česar je ameriška agencija za kibernetsko varnost in varnost infrastrukture (CISA) svetovala, da se do 2. avgusta odpravi napaka pri dvigovanju privilegijev.

Priporočilo je namenjeno zveznim agencijam in koncernam CVE-2022-22047, ranljivost, ki ima visoko oceno CVSS (7.8) in razkriva Windows Client Server Runtime Subsystem (CSRSS), ki se uporablja v sistemu Windows 11 (in prejšnjih različicah, ki segajo v 7) in tudi Windows Server 2022 (in starejših različicah 2008, 2012, 2016). in 2019) za napad.

[BREZPLAČEN dogodek na zahtevo: Pridružite se Zaneu Bondu iz Keeper Security na okrogli mizi Threatpost in se naučite, kako varno dostopati do svojih strojev od kjerkoli in deliti občutljive dokumente iz domače pisarne. OGLED TUKAJ.]

Napaka CSRSS je ranljivost dviga privilegijev, ki nasprotnikom z vnaprej določenim oporiščem v ciljnem sistemu omogoča izvajanje kode kot uporabnik brez pravic. Ko je Microsoftova ekipa za varnost prvič poročala o napaki v začetku tega meseca, je bila razvrščena kot napaka ničelnega dne ali znana napaka brez popravka. Ta popravek je bil na voljo dne Torek, 5. julij.

Raziskovalci FortiGuard Labs, oddelka Fortinet, so dejali, da je grožnja, ki jo hrošč predstavlja za podjetja, "srednja". Raziskovalci pojasnjujejo v biltenu znižana ocena, ker nasprotnik potrebuje napreden »lokalni« ali fizični dostop do ciljnega sistema za izkoriščanje hrošča in je na voljo popravek.

Kljub temu bi lahko napadalec, ki je predhodno pridobil oddaljeni dostop do računalniškega sistema (z okužbo z zlonamerno programsko opremo), ranljivost izkoristil na daljavo.

»Čeprav ni nobenih nadaljnjih informacij o izkoriščanju, ki jih je izdal Microsoft, je mogoče domnevati, da je neznana oddaljena izvedba kode omogočila napadalcu, da izvede stransko premikanje in poveča privilegije na strojih, ranljivih za CVE-2022-22047, kar je na koncu omogočilo SYSTEM privilegije, « so zapisali pri FortiGuard Labs.

Vstopne točke za Office in Adobe Documents

Medtem ko se ranljivost aktivno izkorišča, ni znanih javnih dokazov o izkoriščanjih konceptov v naravi, ki bi jih lahko uporabili za ublažitev ali včasih spodbujanje napadov, pravi poročilo The Record.

"Ranljivost omogoča napadalcu, da izvede kodo kot SYSTEM, pod pogojem, da lahko izvede drugo kodo na tarči," je zapisal Trend Micro's Zero Day Initiative (ZDI) v torkovem popravku pregled prejšnji teden.

»Hrošči te vrste so običajno združeni z napako pri izvajanju kode, običajno s posebej izdelanim dokumentom Office ali Adobe, da prevzame sistem. Ti napadi se pogosto zanašajo na makre, zato je bilo toliko razočaranih, ko so slišali Microsoftovo zamudo pri privzetem blokiranju vseh Officeovih makrov,« je zapisal avtor ZDI Dustin Childs.

Microsoft je pred kratkim dejal, da bo privzeto blokiral uporabo makrov Visual Basic for Applications (VBA) v nekaterih svojih Officeovih aplikacijah, vendar ni določil nobene časovnice za uveljavitev pravilnika.

CISA dodal Microsoftovo napako na svoj tekoči seznam znanih izkoriščenih ranljivosti 7. julija (išči »CVE-2022-22047«, da poiščeš vnos) in preprosto priporoča »uporabi posodobitve po navodilih prodajalca«.

[BREZPLAČEN dogodek na zahtevo: Pridružite se Zaneu Bondu iz Keeper Security na okrogli mizi Threatpost in se naučite, kako varno dostopati do svojih strojev od kjerkoli in deliti občutljive dokumente iz domače pisarne. OGLED TUKAJ.]

Slika: z dovoljenjem Microsofta