Microsoft je za torkovo oktobrsko posodobitev popravkov obravnaval kritično varnostno ranljivost v svoji storitvi v oblaku Azure, ki je na lestvici resnosti ranljivosti CVSS prejela redko oceno 10 od 10.
Tehnološki gigant je prav tako popravil dve hrošči ničelnega dne z oceno "pomembno", od katerih se ena aktivno izkorišča v divjini; poleg tega pa lahko obstaja še tretja težava v SharePointu, ki se prav tako aktivno izkorišča.
Predvsem pa Microsoft ni izdal popravkov za oba nepopravljene napake ničelnega dne v strežniku Exchange Server ki je prišla v javnost konec septembra.
Oktobra je Microsoft skupaj izdal popravke za 85 CVE, vključno s 15 kritičnimi napakami. Prizadeti izdelki delujejo kot običajno v celotnem portfelju izdelkov: Microsoft Windows in komponente Windows; Azure, Azure Arc in Azure DevOps; Microsoft Edge (na osnovi Chromiuma); pisarna in pisarniške komponente; Visual Studio Code; Domenske storitve Active Directory in storitve potrdil Active Directory; Nu Get Client; Hyper-V; in Windows Resilient File System (ReFS).
To je poleg 11 popravkov za Microsoft Edge (ki temelji na Chromiumu) in popravka za špekulacije stranskih kanalov v procesorjih ARM, izdanih v začetku meseca.
Popolnih 10: Redka izjemno kritična ranljivost
Napaka 10 od 10 (CVE-2022-37968) je težava z zvišanjem privilegijev (EoP) in oddaljenim izvajanjem kode (RCE), ki lahko nepreverjenemu napadalcu omogoči pridobitev skrbniškega nadzora nad gručami Kubernetes, ki podpirajo Azure Arc; lahko vpliva tudi na naprave Azure Stack Edge.
Medtem ko bi kibernetski napadalci morali poznati naključno ustvarjeno končno točko DNS, da bi bila gruča Kubernetes, ki podpira Azure Arc, uspešna, ima izkoriščanje velik izkupiček: svoje privilegije lahko povišajo na skrbnika gruče in potencialno pridobijo nadzor nad gručo Kubernetes.
"Če uporabljate tovrstne vsebnike z različico, nižjo od 1.5.8, 1.6.19, 1.7.18 in 1.8.11, in so na voljo v internetu, jih takoj nadgradite," je dejal Mike Walters, podpredsednik oddelka za ranljivost in raziskava groženj pri Action1, opozorjena po e-pošti.
Par (morda triada) popravkov ničelnega dne – vendar ne TISTI popravki
Novi ničelni dan potrjeno aktivno izkorišča (CVE-2022-41033) je ranljivost EoP v storitvi Windows COM+ Event System Service. Ima oceno 7.8 CVSS.
Storitev Windows COM+ Event System se privzeto zažene z operacijskim sistemom in je odgovorna za zagotavljanje obvestil o prijavah in odjavah. Vse različice operacijskega sistema Windows, začenši z Windows 7 in Windows Server 2008, so ranljive in preprost napad lahko vodi do pridobitve SYSTEM privilegijev, so opozorili raziskovalci.
»Ker gre za hrošč stopnjevanja privilegijev, je verjetno povezan z drugimi izkoriščanji izvajanja kode, namenjenimi prevzemu sistema,« je Dustin Childs iz pobude Zero Day Initiative (ZDI) opozoril v analiza danes. »Te vrste napadov pogosto vključujejo neko obliko družbenega inženiringa, kot je napeljevanje uporabnika, da odpre priponko ali brska po zlonamerni spletni strani. Kljub skoraj nenehnemu usposabljanju za preprečevanje lažnega predstavljanja, zlasti med »Mesec ozaveščanja o kibernetski varnosti,« ljudje ponavadi kliknejo vse, zato hitro preizkusite in uvedite ta popravek.«
Satnam Narang, višji osebni raziskovalni inženir pri Tenable, je v povzetku, poslanem po e-pošti, opozoril, da bi lahko preverjeni napadalec izvedel posebej izdelano aplikacijo, da bi izkoristil napako in povišal privilegije na SYSTEM.
»Medtem ko ranljivosti zaradi dviga privilegijev zahtevajo, da napadalec pridobi dostop do sistema z drugimi sredstvi, so še vedno dragoceno orodje v napadalčevem orodju in ta mesečni torek popravkov ne vsebuje pomanjkanja napak pri dvigu privilegijev, saj je Microsoft zakrpal 39 , kar predstavlja skoraj polovico popravljenih hroščev (46.4 %),« je dejal.
Po besedah Waltersa iz Action1 bi morala ta posebna težava EoP iti na glavo linije za popravljanje.
»Namestitev na novo izdanega popravka je obvezna; sicer lahko napadalec, ki je prijavljen v gostujoči ali običajni uporabniški računalnik, hitro pridobi SISTEMSKE privilegije v tem sistemu in lahko z njim naredi skoraj vse,« je zapisal v analizi, poslani po elektronski pošti. "Ta ranljivost je še posebej pomembna za organizacije, katerih infrastruktura se opira na Windows Server."
Druga potrjena javno znana napaka (CVE-2022-41043) je težava z razkritjem informacij v Microsoft Officeu za Mac, ki ima nizko oceno tveganja CVSS le 4 od 10.
Waters je opozoril na še en potencialno izkoriščen zero-day: problem oddaljenega izvajanja kode (RCE) v strežniku SharePoint Server (CVE-2022-41036, CVSS 8.8), ki vpliva na vse različice, začenši s servisnim paketom 2013 za SharePoint 1.
"V napadu, ki temelji na omrežju, lahko preverjeni nasprotnik z dovoljenji za upravljanje seznama izvede kodo na daljavo na SharePoint Server in stopnjuje do skrbniških dovoljenj," je dejal.
Najpomembneje je, da "Microsoft poroča, da je bil izkoriščanje verjetno že ustvarjen in ga uporabljajo hekerske skupine, vendar za to še ni nobenega dokaza," je dejal. "Kljub temu je to ranljivost vredno jemati resno, če imate SharePoint Server odprt za internet."
Brez popravkov ProxyNotShell
Opozoriti je treba, da to nista dva popravka ničelnega dne, ki so ju raziskovalci pričakovali; te napake, CVE-2022-41040 in CVE-2022-41082, znan tudi kot ProxyNotShell, ostanejo neobravnavani. Ko so povezani skupaj, lahko dovolijo RCE na strežnikih Exchange.
»Kar je morda bolj zanimivo, je tisto, kar ni vključeno v izdajo tega meseca. Za Exchange Server ni nobenih posodobitev, kljub temu, da sta bili dve napaki v Exchangeu aktivno izkoriščeni vsaj dva tedna,« je zapisal Childs. »Te hrošče je ZDI kupil v začetku septembra in jih takrat prijavil Microsoftu. Ker ni na voljo nobenih posodobitev za popolno odpravo teh napak, je najboljše, kar lahko storijo skrbniki, zagotoviti namestitev septembrske … kumulativne posodobitve (CU).«
»Kljub velikim upanjem, da bo današnja izdaja popravkov v torek vsebovala popravke za ranljivosti, strežnik Exchange očitno manjka na prvotnem seznamu varnostnih posodobitev oktobra 2022,« pravi Caitlin Condon, višja vodja za raziskave ranljivosti pri Rapid7. "Microsoftovo priporočeno pravilo za blokiranje znanih vzorcev napadov je bilo večkrat zaobljeno, kar poudarja potrebo po resničnem popravku."
Od začetka septembra je Rapid7 Labs opazil do 191,000 potencialno ranljivih primerkov strežnika Exchange Server, ki so bili izpostavljeni internetu prek vrat 443, dodaja. Vendar pa za razliko od ProxyShell
in ProxyLogon
verige izkoriščanja, ta skupina hroščev zahteva, da ima napadalec za uspešno izkoriščanje preverjen dostop do omrežja.
»Doslej so bili napadi omejeni in ciljno usmerjeni,« pravi in dodaja: »Malo verjetno je, da se bo to nadaljevalo, ko čas mineva in imajo akterji groženj več možnosti za dostop in izpopolnjevanje verig izkoriščanja. Skoraj zagotovo bomo videli dodatne ranljivosti po avtentifikaciji, objavljene v prihodnjih mesecih, a prava skrb bi bil vektor napadov brez avtentikacije, ki bi se pojavil, ko IT in varnostne ekipe izvajajo zamrznitve kode ob koncu leta.«
Skrbniki upoštevajte: prednost imajo druge napake
Kar zadeva druga vprašanja, ki jim je treba dati prednost, je ZDI's Childs označil dve napaki EoP v podsistemu odjemalskega strežnika Windows (CSRSS), ki ju spremljamo kot CVE-2022-37987
in CVE-2022-37989
(oba 7.8 CVSS).
"CVS-2022-37989 je neuspeli popravek za CVE-2022-22047, prejšnjo napako, ki je videla nekaj izkoriščanja v naravi," je pojasnil. »Ta ranljivost je posledica tega, da je CSRSS preveč prizanesljiv pri sprejemanju vnosov nezaupljivih procesov. Nasprotno pa je CVE-2022-37987 nov napad, ki deluje tako, da zavede CSRSS, da naloži informacije o odvisnosti z nezavarovane lokacije.«
Pomemben tudi: Devet CVE-jev, kategoriziranih kot hrošči RCE s kritično resnostjo, je bilo prav tako popravljenih danes, sedem od njih pa vpliva na protokol tuneliranja od točke do točke, pravi Greg Wiseman, produktni vodja pri Rapid7. "[Ti] zahtevajo, da napadalec zmaga v dirkalnem pogoju, da jih izkoristi," je opozoril po elektronski pošti.
To dodaja raziskovalec Automoxa Jay Goodman CVE-2022-38048 (CVSS 7.8) vpliva na vse podprte različice Officea in lahko napadalcu omogoči, da prevzame nadzor nad sistemom, »kjer bi lahko prosto nameščal programe, si ogledoval ali spreminjal podatke ali ustvarjal nove račune v ciljnem sistemu s polnimi uporabniškimi pravicami. .” Medtem ko je manj verjetno, da bo ranljivost izkoriščena, je po mnenju Microsofta kompleksnost napada navedena kot nizka.
In končno, to opozarja Gina Geisel, prav tako raziskovalka Automoxa CVE-2022-38028
(CVSS 7.8), napaka Windows Print Spooler EoP, kot ranljivost z nizkimi privilegiji in nizko kompleksnostjo, ki ne zahteva interakcije uporabnika.
"Napadalec bi se moral prijaviti v prizadeti sistem in zagnati posebej oblikovan skript ali aplikacijo, da bi pridobil sistemske privilegije," ugotavlja. »Primeri teh privilegijev napadalcev vključujejo nameščanje programov; spreminjanje, spreminjanje in brisanje podatkov; ustvarjanje novih računov s polnimi uporabniškimi pravicami; in bočno premikanje po omrežjih.«
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
