Popravek v torek na kratko – en 0-dnevni popravek, vendar brez popravkov za Exchange!

Pred dvema tednoma smo poročali o dva dneva nič v Microsoft Exchangeu, ki ga je Microsoftu tri tedne pred tem prijavilo vietnamsko podjetje, ki je trdilo, da je naletelo na hrošče pri odzivu na incident v omrežju stranke. (Morda boste morali to prebrati dvakrat.)

Kot se verjetno spomnite, hrošči spominjajo na lanske ProxyLogin/ProxyShell varnostne težave v sistemu Windows, čeprav je tokrat potrebna overjena povezava, kar pomeni, da napadalec vnaprej potrebuje vsaj eno uporabniško e-poštno geslo.

To je vodilo do zabavnega, a po nepotrebnem zmedenega imena ProxyNotShell, čeprav ga v lastnih opombah imenujemo E00F, okrajšava za Menjava dvojne napake ničelnega dne, ker je to težje napačno prebrati.

Verjetno se spomnite tudi pomembne podrobnosti, da je prvo ranljivost v verigi napadov E00F mogoče izkoristiti po tem, ko ste opravili del prijave z geslom, vendar preden ste opravili kakršno koli preverjanje pristnosti 2FA, ki je potrebno za dokončanje postopka prijave.

Zaradi tega je Sophosov strokovnjak Sinhroniziran Chester Wisniewski luknja »srednje avtentikacije«, namesto prave napake po preverjanju pristnosti:

Pred enim tednom, ko smo naredili hiter povzetek o Microsoftovem odgovoru na E00F, zaradi katerega so bili uradni nasveti podjetja o ublažitvi večkrat spremenjeni, smo v podkastu Naked Security špekulirali takole:

Danes zjutraj sem si ogledal Microsoftov dokument s smernicami [2022-10-05], vendar nisem videl nobenih informacij o popravku ali o tem, kdaj bo na voljo.

Naslednji torek [2022-10-11] je torek popravkov, tako da bomo morda morali počakati do takrat?

Pred enim dnevom [2022-10-11] je bil najnovejši popravek v torek...

…in največja novica je skoraj zagotovo ta, da smo se zmotili: čakati bomo morali še dlje.

Vse razen Exchange

Microsoftovi popravki tega meseca (različno poročajo o številu 83 ali 84, odvisno od tega, kako štejete in kdo šteje) pokrivajo 52 različnih delov Microsoftovega ekosistema (kar podjetje opisuje kot »izdelki, funkcije in vloge«), vključno s številnimi, za katere prej sploh nismo slišali.

To je vrtoglav seznam, ki smo ga tukaj v celoti ponovili:

Domenske storitve Active Directory Azure Azure Arc Client Server Run-time Subsystem (CSRSS) Microsoft Edge (na osnovi Chromiuma) Microsoft Graphics Component Microsoft Office Microsoft Office SharePoint Microsoft Office Word Microsoft WDAC OLE DB ponudnik za SQL NuGet Client Remote Access Service Point-to- Vloga protokola za tuneliranje točk: Windows Hyper-V Service Fabric Visual Studio Code Windows Active Directory Certificate Services Windows ALPC Windows CD-ROM Driver Windows COM+ Event System Service Windows Connected User Experiences and Telemetry Windows CryptoAPI Windows Defender Windows DHCP Client Windows Distributed File System (DFS) ) Windows DWM Core Library Storitev Windows za beleženje dogodkov Windows Group Policy Windows Group Policy Preference Client Windows Internet Key Exchange (IKE) Protocol Windows Kernel Windows Local Security Authority (LSA) Windows Local Security Authority Subsystem Service (LSASS) Windows Local Session Manager (LSM) Windows NTFS Windows NTLM Windows ODBC Gonilnik Windows Perception Simulation Service Windows Point-to-Point Tunneling Protocol Storitev Windows Portable Device Enumerator Service Windows Print Spooler Components Windows Resilient File System (ReFS) Windows Secure Channel Windows Security Support Provider Interface Windows Server Daljinsko dostopni registrski ključi Windows Strežniška storitev Windows Storage Windows TCP/IP Windows USB Serijski gonilnik Windows Web Account Manager Windows Win32K Windows WLAN Storitev Windows Workstation Storitev

Kot lahko vidite, se beseda »Exchange« pojavi samo enkrat, v kontekstu IKE, internetni protokol za izmenjavo ključev.

Torej še vedno ni popravka za napake E00F, teden dni po tem, ko smo sledili našemu članku iz tedna pred tem o začetnem poročilu tri tedne pred tem.

Z drugimi besedami, če imate še vedno svoj strežnik Exchange na mestu uporabe, tudi če ga izvajate samo kot del aktivne selitve na Exchange Online, ta mesečni torek popravkov vam ni prinesel nobene olajšave za Exchange, zato se prepričajte, da ste na tekočem z najnovejšimi Microsoftovimi ublažitvami izdelkov in da veste, kateri nizi zaznavanja in klasifikacije groženj prodajalec kibernetske varnosti uporablja da vas opozori na potencialne napadalce ProxyNotShell/E00F, ki preiskujejo vaše omrežje.

Kaj se je popravilo?

Za podroben pregled tega, kaj je bilo popravljeno ta mesec, pojdite na naše sestrsko spletno mesto, Sophos News, za "insajderja" poročilo o vulns-and-exploits iz SophosLabs:

Vrhunci (ali šibki, odvisno od vašega zornega kota) vključujejo:

• Javno razkrita napaka v sistemu Office, ki bi lahko povzročila uhajanje podatkov. Ne poznamo dejanskih napadov s to napako, vendar so bile informacije o tem, kako jo zlorabiti, potencialni napadalci očitno poznale, preden se je pojavil popravek. (CVE-2022-41043)
• Javno izkoriščena napaka pri dvigovanju privilegijev v storitvi sistema dogodkov COM+. Varnostna luknja, ki je javno znana in je bila že izkoriščena v napadih v resničnem življenju, je a Zero-Day, ker ni bilo nič dni, da bi lahko uporabili popravek, preden ga je kiberpodzemlje vedelo, kako ga zlorabiti. (CVE-2022-41033)
• Varnostna napaka pri obdelavi varnostnih potrdil TLS. To napako so očitno prijavile vladne službe za kibernetsko varnost Združenega kraljestva in ZDA (GCHQ oziroma NSA) in bi lahko napadalcem omogočila, da se lažno predstavijo kot lastniki kode za podpisovanje ali potrdila spletne strani nekoga drugega. (CVE-2022-34689)

Posodobitve tega meseca veljajo za večino vsako različico sistema Windows tam zunaj, od 7-bitnega sistema Windows 32 pa vse do strežnika 2022; posodobitve pokrivajo različice sistema Windows Intel in ARM; in vključujejo vsaj nekaj popravkov za tako imenovane Jedro strežnika namesti.

(Server Core je skrajšani sistem Windows, ki vam omogoča zelo osnovni strežnik samo z ukazno vrstico in z močno zmanjšano površino napadov, pri čemer izpustite vrste komponent, ki jih preprosto ne potrebujete, če je vse, kar želite, na primer strežnik DNS in DHCP.)

Kaj storiti?

Kot pojasnjujemo v našem podrobna analiza na Sophos News, se lahko odpravite bodisi v Nastavitve > Windows Update in ugotovite, kaj vas čaka, lahko pa obiščete Microsoftovo spletno mesto Vodnik za posodobitve in prenesite posamezne pakete posodobitev iz Posodobi katalog.

Veš kaj bomo rekli/
   Ker je vedno po naše.

To je "Ne odlašaj/
   Preprosto storite to danes.”

---