Feds uppmanar amerikanska myndigheter att korrigera en bugg för Microsoft July Patch Tuesday 2022 som utnyttjas i naturen senast den 2 augusti.
En Windows 11-sårbarhet, en del av Microsofts Patch Tuesday-uppsamling av korrigeringar, utnyttjas i det vilda, vilket får den amerikanska myndigheten för Cybersecurity and Infrastructure Security (CISA) att ge råd om korrigering av privilegieringsfel senast den 2 augusti.
Rekommendationen riktar sig till federala myndigheter och oro CVE-2022-22047, en sårbarhet som har ett CVSS-poäng på högt (7.8) och avslöjar Windows Client Server Runtime Subsystem (CSRSS) som används i Windows 11 (och tidigare versioner som går tillbaka till 7) och även Windows Server 2022 (och tidigare versioner 2008, 2012, 2016 och 2019) för att attackera.
[GRATIS Event på begäran: Gå med i Keeper Securitys Zane Bond i ett Threatpost-rundbord och lär dig hur du säkert kommer åt dina maskiner var som helst och delar känsliga dokument från ditt hemmakontor. SE HÄR.]
CSRSS-felet är en sårbarhet för höjning av privilegier som tillåter motståndare med ett företablerat fotfäste på ett riktat system att exekvera kod som en oprivilegierad användare. När felet först rapporterades av Microsofts eget säkerhetsteam tidigare denna månad klassificerades det som en nolldag, eller en känd bugg utan patch. Den patchen gjordes tillgänglig på Tisdag 5 juli.
Forskare vid FortiGuard Labs, en division av Fortinet, sa att hotet som buggen utgör för företagen är "medium". I en bulletin förklarar forskare det nedgraderade betyget eftersom en motståndare behöver avancerad "lokal" eller fysisk åtkomst till det riktade systemet för att utnyttja felet och en patch är tillgänglig.
Som sagt, en angripare som tidigare har fått fjärråtkomst till ett datorsystem (via skadlig programvara) kan utnyttja sårbarheten på distans.
"Även om det inte finns någon ytterligare information om utnyttjande som släppts av Microsoft, kan det antas att en okänd fjärrkörning av kod gjorde det möjligt för en angripare att utföra laterala rörelser och eskalera privilegier på maskiner som är sårbara för CVE-2022-22047, vilket i slutändan tillåter SYSTEM-privilegier, ” skrev FortiGuard Labs.
Ingångspunkter för Office och Adobe Documents
Medan sårbarheten aktivt utnyttjas finns det inga kända offentliga bevis på konceptexploater i det vilda som kan användas för att mildra eller ibland underblåsa attacker, enligt en rapport från The Record.
"Sårbarheten tillåter en angripare att exekvera kod som SYSTEM, förutsatt att de kan exekvera annan kod på målet", skrev Trend Micros Zero Day Initiative (ZDI) i sin Patch Tuesday sammanfattning förra veckan.
"Buggar av den här typen är vanligtvis ihopkopplade med en kodexekveringsbugg, vanligtvis ett specialtillverkat Office- eller Adobe-dokument, för att ta över ett system. Dessa attacker förlitar sig ofta på makron, vilket är anledningen till att så många blev nedslående över att höra Microsofts försening med att blockera alla Office-makron som standard”, skrev ZDI-författaren Dustin Childs.
Microsoft sa nyligen att det skulle blockera användningen av Visual Basic for Applications (VBA) makron som standard i vissa av sina Office-appar, men ställer inte in någon tidslinje för att tillämpa policyn.
CISA lade till Microsoft-felet till sin körlista av kända exploaterade sårbarheter den 7 juli (sök "CVE-2022-22047" för att hitta posten) och rekommenderar helt enkelt "tillämpa uppdateringar enligt leverantörsinstruktioner".
[GRATIS Event på begäran: Gå med i Keeper Securitys Zane Bond i ett Threatpost-rundbord och lär dig hur du säkert kommer åt dina maskiner var som helst och delar känsliga dokument från ditt hemmakontor. SE HÄR.]
Bild: med tillstånd av Microsoft
