För sin October Patch Tuesday-uppdatering åtgärdade Microsoft en kritisk säkerhetssårbarhet i sin Azure-molntjänst, med en sällsynt 10-av-10-klassificering på CVSS-sårbarhets-allvarlighetsskalan.
Teknikjätten lappade också två "viktiga"-klassade nolldagarsbuggar, varav en exploateras aktivt i naturen; och vidare kan det finnas ett tredje problem, i SharePoint, som också utnyttjas aktivt.
Noterbart är dock att Microsoft inte utfärdade korrigeringar för de två opachade Exchange Server nolldagars buggar som kom fram i slutet av september.
Sammanlagt för oktober släppte Microsoft patchar för 85 CVE, inklusive 15 kritiska buggar. Berörda produkter kör produktportföljens omfång som vanligt: Microsoft Windows och Windows-komponenter; Azure, Azure Arc och Azure DevOps; Microsoft Edge (Chromium-baserad); Kontor och kontorskomponenter; Visual Studio Code; Active Directory Domain Services och Active Directory Certificate Services; Nu Get Client; Hyper-V; och Windows Resilient File System (ReFS).
Dessa är utöver 11 patchar för Microsoft Edge (Chromium-baserad) och en patch för sidokanalspekulation i ARM-processorer som släpptes tidigare i månaden.
A Perfect 10: Rare Ultra-Critical Vuln
10-av-10-felet (CVE-2022-37968) är ett problem med behörighetsförhöjning (EoP) och fjärrkodexekvering (RCE) som kan tillåta en oautentiserad angripare att få administrativ kontroll över Azure Arc-aktiverade Kubernetes-kluster; det kan också påverka Azure Stack Edge-enheter.
Även om cyberattackare skulle behöva känna till den slumpmässigt genererade DNS-slutpunkten för att ett Azure Arc-aktiverat Kubernetes-kluster ska bli framgångsrikt, har exploatering en stor vinst: de kan höja sina privilegier till klusteradministratör och potentiellt få kontroll över Kubernetes-klustret.
"Om du använder dessa typer av behållare med en version lägre än 1.5.8, 1.6.19, 1.7.18 och 1.8.11 och de är tillgängliga från Internet, uppgradera omedelbart," Mike Walters, vice VD för sårbarhet och hotforskning på Action1, varnade via e-post.
Ett par (kanske en triad) nolldagars-lappar – men inte DENA lappar
Den nya nolldagen bekräftades vara under aktiv exploatering (CVE-2022-41033) är en EoP-sårbarhet i Windows COM+ Event System Service. Den har 7.8 CVSS-poäng.
Windows COM+ Event System Service startas som standard med operativsystemet och ansvarar för att tillhandahålla meddelanden om inloggningar och utloggningar. Alla versioner av Windows som börjar med Windows 7 och Windows Server 2008 är sårbara, och en enkel attack kan leda till att man får SYSTEM-privilegier, varnade forskare.
"Eftersom det här är ett privilegieupptrappningsfel, är det troligtvis ihopkopplat med andra kodexekveringsexploater som är utformade för att ta över ett system", noterade Dustin Childs, från Zero Day Initiative (ZDI), i en analys idag. "Denna typer av attacker involverar ofta någon form av social ingenjörskonst, som att locka en användare att öppna en bilaga eller bläddra till en skadlig webbplats. Trots nästan konstant träning mot nätfiske, särskilt under 'Cyber Security Awareness Month," folk tenderar att klicka på allt, så testa och distribuera den här korrigeringen snabbt."
Satnam Narang, senior forskningsingenjör på Tenable, noterade i en e-postad sammanfattning att en autentiserad angripare kunde köra en specialtillverkad applikation för att utnyttja felet och höja privilegier till SYSTEM.
"Även om sårbarheter för höjning av privilegier kräver att en angripare får tillgång till ett system på andra sätt, är de fortfarande ett värdefullt verktyg i en angripares verktygslåda, och denna månads Patch Tuesday har ingen brist på privilegiehöjningsbrister, eftersom Microsoft patchade 39 , som står för nästan hälften av de korrigerade buggarna (46.4 %)”, sa han.
Det här specifika EoP-problemet borde gå till chefen för lappningen, enligt Action1s Walters.
“Det är obligatoriskt att installera den nyligen släppta patchen; annars kan en angripare som är inloggad på en gästdator eller en vanlig användardator snabbt få SYSTEM-privilegier på det systemet och kunna göra nästan vad som helst med det”, skrev han i en mejlad analys. "Denna sårbarhet är särskilt viktig för organisationer vars infrastruktur är beroende av Windows Server."
Den andra bekräftade allmänt kända buggen (CVE-2022-41043) är ett problem med informationsutlämnande i Microsoft Office för Mac som har en låg CVSS-riskklassificering på bara 4 av 10.
Waters pekade på ett annat potentiellt utnyttjat zero-day: ett fjärrkodexekveringsproblem (RCE) i SharePoint Server (CVE-2022-41036, CVSS 8.8) som påverkar alla versioner som börjar med SharePoint 2013 Service Pack 1.
"I en nätverksbaserad attack kan en autentiserad motståndare med behörighet att hantera listan exekvera kod på distans på SharePoint Server och eskalera till administrativa behörigheter," sa han.
Viktigast av allt, "Microsoft rapporterar att en exploatering troligen redan har skapats och används av hackergrupper, men det finns inga bevis för detta ännu," sa han. "Ändå är denna sårbarhet värd att ta på allvar om du har en SharePoint Server öppen för internet."
Inga ProxyNotShell-korrigeringar
Det bör noteras att detta inte är de två nolldagars-plåster som forskarna förväntade sig; dessa buggar, CVE-2022-41040 och CVE-2022-41082, även känd som ProxyNotShell, förbli oadresserad. När de är sammankopplade kan de tillåta RCE på Exchange-servrar.
"Det som kan vara mer intressant är det som inte ingår i denna månads release. Det finns inga uppdateringar för Exchange Server, trots att två Exchange-buggar har utnyttjats aktivt i minst två veckor”, skrev Childs. "Dessa buggar köptes av ZDI i början av september och rapporterades till Microsoft då. Utan några tillgängliga uppdateringar för att till fullo ta itu med dessa buggar, är det bästa administratörer kan göra att se till att september … Kumulativ uppdatering (CU) är installerad.”
"Trots stora förhoppningar om att dagens Patch Tuesday-utgåva skulle innehålla korrigeringar för sårbarheterna, saknas Exchange Server påtagligt i den första listan med säkerhetsuppdateringar från oktober 2022", säger Caitlin Condon, senior manager för sårbarhetsforskning på Rapid7. "Microsofts rekommenderade regel för att blockera kända attackmönster har förbigåtts flera gånger, vilket betonar nödvändigheten av en sann fix."
I början av september observerade Rapid7 Labs upp till 191,000 443 potentiellt sårbara instanser av Exchange Server exponerade för Internet via port XNUMX, tillägger hon. Men till skillnad från ProxyShell
och ProxyLogon
exploateringskedjor kräver denna grupp av buggar att en angripare har autentiserad nätverksåtkomst för framgångsrikt utnyttjande.
"Än så länge har attackerna förblivit begränsade och riktade", säger hon och tillägger, "Det är osannolikt att det kommer att fortsätta med tiden och hotaktörer har större möjligheter att få tillgång och finslipa exploateringskedjor. Vi kommer nästan säkert att se ytterligare sårbarheter efter autentisering släppas under de kommande månaderna, men det verkliga bekymret skulle vara en oautentiserad attackvektor som dyker upp när IT- och säkerhetsteam implementerar kodfrysning i slutet av året.”
Administratörer Notera: Andra buggar att prioritera
När det gäller andra frågor att prioritera, flaggade ZDI:s Childs två Windows Client Server Run-time Subsystem (CSRSS) EoP-buggar spårade som CVE-2022-37987
och CVE-2022-37989
(båda 7.8 CVSS).
"CVS-2022-37989 är en misslyckad patch för CVE-2022-22047, en tidigare bugg som såg en del i-the-wild exploatering," förklarade han. "Denna sårbarhet beror på att CSRSS är för mild när det gäller att acceptera input från opålitliga processer. Däremot är CVE-2022-37987 en ny attack som fungerar genom att lura CSRSS till att ladda beroendeinformation från en osäkrad plats.”
Också anmärkningsvärt: Nio CVE: er kategoriserade som RCE-buggar med kritisk svårighetsgrad patchades också idag, och sju av dem påverkar Point-to-Point Tunneling Protocol, enligt Greg Wiseman, produktchef på Rapid7. "[Dessa] kräver att en angripare vinner ett race-villkor för att utnyttja dem," noterade han via e-post.
Automox-forskaren Jay Goodman tillägger det CVE-2022-38048 (CVSS 7.8) påverkar alla versioner av Office som stöds, och de kan tillåta en angripare att ta kontroll över ett system "där de skulle vara fria att installera program, visa eller ändra data eller skapa nya konton på målsystemet med fullständiga användarrättigheter .” Även om sårbarheten är mindre sannolikt att utnyttjas, enligt Microsoft, anges attackens komplexitet som låg.
Och slutligen, Gina Geisel, också en Automox-forskare, varnar för det CVE-2022-38028
(CVSS 7.8), en Windows Print Spooler EoP-bugg, som en sårbarhet med låg privilegie och låg komplexitet som inte kräver någon användarinteraktion.
"En angripare skulle behöva logga in på ett påverkat system och köra ett speciellt utformat skript eller program för att få systembehörighet", konstaterar hon. "Exempel på dessa angriparprivilegier inkluderar installation av program; modifiera, ändra och ta bort data; skapa nya konton med fullständiga användarrättigheter; och rör sig i sidled runt nätverk.”
