Ekim Yaması Salı güncellemesi için Microsoft, Azure bulut hizmetindeki kritik bir güvenlik açığını ele aldı ve CVSS güvenlik açığı-önem ölçeğinde 10 üzerinden 10'luk nadir bir puan aldı.
Teknoloji devi ayrıca, biri vahşi doğada aktif olarak kullanılan iki "önemli" sıfır-gün hatasını yamaladı; ve ayrıca, SharePoint'te aktif olarak istismar edilen üçüncü bir sorun olabilir.
Bununla birlikte, özellikle Microsoft, ikisi için düzeltmeler yayınlamadı. yamasız Exchange Server sıfır gün hataları eylül sonunda ortaya çıktı.
Microsoft, Ekim ayı boyunca, 85 kritik hata dahil 15 CVE için yamalar yayınladı. Etkilenen ürünler, ürün portföyünün gamını her zamanki gibi çalıştırır: Microsoft Windows ve Windows Bileşenleri; Azure, Azure Arc ve Azure DevOps; Microsoft Edge (Chromium tabanlı); Ofis ve Ofis Bileşenleri; Visual Studio Kodu; Active Directory Etki Alanı Hizmetleri ve Active Directory Sertifika Hizmetleri; Nu Get Client; Hiper-V; ve Windows Esnek Dosya Sistemi (ReFS).
Bunlar, Microsoft Edge (Chromium tabanlı) için 11 yamaya ve ayın başlarında piyasaya sürülen ARM işlemcilerinde yan kanal spekülasyonları için bir yamaya ek olarak.
A Perfect 10: Nadir Ultra Kritik Güvenlik Açığı
10'dan 10'u hata (CVE-2022-37968), kimliği doğrulanmamış bir saldırganın Azure Arc'ın etkin olduğu Kubernetes kümeleri üzerinde yönetim denetimi elde etmesine olanak verebilecek bir ayrıcalık yükselmesi (EoP) ve uzaktan kod yürütme (RCE) sorunudur; Azure Stack Edge cihazlarını da etkileyebilir.
Siber saldırganların Azure Arc özellikli bir Kubernetes kümesinin başarılı olması için rastgele oluşturulmuş DNS uç noktasını bilmesi gerekirken, istismarın büyük bir getirisi vardır: Ayrıcalıklarını küme yöneticisine yükseltebilir ve potansiyel olarak Kubernetes kümesi üzerinde kontrol elde edebilirler.
Güvenlik açığı ve güvenlik açığından sorumlu başkan yardımcısı Mike Walters, "Sürüm 1.5.8, 1.6.19, 1.7.18 ve 1.8.11'den düşük olan bu tür kapsayıcıları kullanıyorsanız ve bunlar İnternet'te mevcutsa, hemen yükseltin," dedi. Action1'deki tehdit araştırması e-posta yoluyla uyarıldı.
Bir Çift (Belki Üçlü) Sıfır Gün Yamaları – ama BU Yamalar Değil
Yeni sıfır gün, aktif istismar altında olduğu doğrulandı (CVE-2022-41033), Windows COM+ Olay Sistemi Hizmetindeki bir EoP güvenlik açığıdır. 7.8 CVSS puanı taşır.
Windows COM+ Olay Sistemi Hizmeti, varsayılan olarak işletim sistemiyle başlatılır ve oturum açmalar ve oturum kapatmalar hakkında bildirimler sağlamaktan sorumludur. Araştırmacılar, Windows 7 ve Windows Server 2008 ile başlayan tüm Windows sürümlerinin savunmasız olduğu ve basit bir saldırının SYSTEM ayrıcalıklarının kazanılmasına yol açabileceği konusunda uyardı.
Zero Day Initiative'den (ZDI) Dustin Childs, "Bu bir ayrıcalık yükseltme hatası olduğundan, muhtemelen bir sistemi ele geçirmek için tasarlanmış diğer kod yürütme açıklarıyla eşleştirilmiştir," dedi. bugün analiz. “Bu tür saldırılar, genellikle bir kullanıcıyı bir eki açmaya veya kötü amaçlı bir web sitesine göz atmaya ikna etmek gibi bir tür sosyal mühendislik içerir. Neredeyse sürekli kimlik avı önleme eğitimine rağmen, özellikle ' sırasındaSiber Güvenlik Farkındalık Ayı,' insanlar her şeyi tıklama eğilimindedir, bu nedenle bu düzeltmeyi hızlı bir şekilde test edin ve dağıtın.
Tenable'da kıdemli araştırma mühendisi olan Satnam Narang, e-postayla gönderilen bir özette, kimliği doğrulanmış bir saldırganın, hatadan yararlanmak ve SYSTEM ayrıcalıklarını yükseltmek için özel olarak hazırlanmış bir uygulamayı çalıştırabileceğini belirtti.
"Ayrıcalık yükseltme güvenlik açıkları, bir saldırganın bir sisteme başka yollarla erişmesini gerektirse de, bunlar hala bir saldırganın araç kutusundaki değerli bir araçtır ve Microsoft'un 39 yaması ile bu ayki Salı Yaması'nda ayrıcalık yükseltme kusurları sıkıntısı yoktur. , yamalı hataların neredeyse yarısını (% 46.4) oluşturuyor” dedi.
Action1'den Walters'a göre, bu özel EoP sorunu, yama için hattın başına gitmeli.
“Yeni çıkan yamanın yüklenmesi zorunludur; aksi takdirde, bir misafir veya sıradan bir kullanıcı bilgisayarında oturum açan bir saldırgan, bu sistemde hızla SİSTEM ayrıcalıkları kazanabilir ve onunla neredeyse her şeyi yapabilir” diye yazdı bir e-posta analizinde. "Bu güvenlik açığı, altyapısı Windows Server'a dayanan kuruluşlar için özellikle önemlidir."
Diğer onaylanmış, genel olarak bilinen hata (CVE-2022-41043), Mac için Microsoft Office'te 4 üzerinden yalnızca 10 gibi düşük bir CVSS risk derecesine sahip bir bilgi ifşa sorunudur.
Waters, potansiyel olarak istismar edilmiş başka bir sıfır güne işaret etti: SharePoint Server'da bir uzaktan kod yürütme (RCE) sorunu (CVE-2022-41036, CVSS 8.8), SharePoint 2013 Service Pack 1 ile başlayan tüm sürümleri etkiler.
"Ağ tabanlı bir saldırıda, Yönetim Listesi izinlerine sahip kimliği doğrulanmış bir düşman, SharePoint Sunucusunda uzaktan kod yürütebilir ve yönetici izinlerine yükselebilir" dedi.
En önemlisi, "Microsoft, bir istismarın büyük olasılıkla zaten oluşturulduğunu ve hacker grupları tarafından kullanıldığını bildiriyor, ancak bunun henüz bir kanıtı yok" dedi. "Yine de, internete açık bir SharePoint Sunucunuz varsa bu güvenlik açığı ciddiye alınmaya değer."
ProxyNotShell Yamaları Yok
Bunların, araştırmacıların beklediği iki sıfır gün yaması olmadığına dikkat edilmelidir; bu hatalar, CVE-2022-41040 ve CVE-2022-41082, ProxyNotShell olarak da bilinir, adressiz kalır. Birlikte zincirlendiklerinde, Exchange Sunucularında RCE'ye izin verebilirler.
“Daha ilginç olan şey, bu ayki sürümde yer almayan şey. Childs, "En az iki hafta boyunca iki Exchange hatasının aktif olarak kullanılmasına rağmen, Exchange Server için güncelleme yok" diye yazdı. "Bu hatalar Eylül başında ZDI tarafından satın alındı ve o sırada Microsoft'a bildirildi. Bu hataları tam olarak gidermek için hiçbir güncelleme bulunmadığından, yöneticilerin yapabileceği en iyi şey Eylül … Kümülatif Güncellemenin (CU) yüklendiğinden emin olmaktır.”
Rapid2022 güvenlik açığı araştırmaları kıdemli yöneticisi Caitlin Condon, "Bugünün Salı Yaması sürümünün güvenlik açıkları için düzeltmeler içereceğine dair yüksek umutlara rağmen, Exchange Server, Ekim 7 güvenlik güncellemelerinin ilk listesinde bariz bir şekilde eksik" diyor. "Microsoft'un bilinen saldırı modellerini engellemek için önerilen kuralı, gerçek bir düzeltmenin gerekliliğini vurgulayarak birden çok kez atlandı."
Eylül ayı başlarında Rapid7 Labs, 191,000 numaralı bağlantı noktası üzerinden İnternet'e maruz kalan 443'e kadar potansiyel olarak savunmasız Exchange Server örneğini gözlemledi. Ancak, farklı olarak ProxyKabuğu
ve ProxyOturum açma
istismar zincirleri, bu hata grubu, başarılı bir istismar için bir saldırganın kimliği doğrulanmış ağ erişimine sahip olmasını gerektirir.
“Şimdiye kadar saldırılar sınırlı ve hedefli kaldı” diyor ve ekliyor: “Zaman geçtikçe ve tehdit aktörlerinin erişim elde etmek ve istismar zincirlerini geliştirmek için daha fazla fırsatı varken bunun devam etmesi pek mümkün değil. Önümüzdeki aylarda, neredeyse kesinlikle ek kimlik doğrulama sonrası güvenlik açıklarının yayınlandığını göreceğiz, ancak asıl endişe, BT ve güvenlik ekipleri yıl sonu kod dondurmaları uygularken ortaya çıkan kimliği doğrulanmamış bir saldırı vektörü olacaktır.”
Yöneticiler Dikkat Ediyor: Öncelik Verilmesi Gereken Diğer Hatalar
Öncelik verilmesi gereken diğer konulara gelince, ZDI'den Childs, şu şekilde izlenen iki Windows İstemci Sunucusu Çalışma Zamanı Alt Sistemi (CSRSS) EoP hatasını işaretledi: CVE-2022-37987
ve CVE-2022-37989
(her ikisi de 7.8 CVSS).
"CVS-2022-37989, CVE-2022-22047 için başarısız bir yamadır, daha önce vahşi bir şekilde sömürülen bir hatadır," diye açıkladı. “Bu güvenlik açığı, CSRSS'nin güvenilmeyen süreçlerden gelen girdileri kabul etmede çok hoşgörülü olmasından kaynaklanmaktadır. Buna karşılık, CVE-2022-37987, güvenli olmayan bir konumdan bağımlılık bilgilerini yüklemek için CSRSS'yi aldatarak çalışan yeni bir saldırıdır."
Ayrıca dikkate değer: Rapid7 ürün müdürü Greg Wiseman'a göre kritik önem derecesine sahip RCE hataları olarak sınıflandırılan dokuz CVE de bugün düzeltildi ve bunlardan yedisi Noktadan Noktaya Tünel Protokolünü etkiliyor. “[Bunlar], bir saldırganın onları sömürmek için bir yarış koşulunu kazanmasını gerektiriyor” diye e-posta yoluyla kaydetti.
Automox araştırmacısı Jay Goodman şunu ekliyor: CVE-2022-38048 (CVSS 7.8), Office'in tüm desteklenen sürümlerini etkiler ve bir saldırganın, programları yüklemek, verileri görüntülemek veya değiştirmek veya hedef sistemde tam kullanıcı haklarına sahip yeni hesaplar oluşturmak için özgür olacakları bir sistemin kontrolünü ele geçirmesine izin verebilir. ” Güvenlik açığından yararlanma olasılığı daha düşük olsa da, Microsoft'a göre saldırı karmaşıklığı düşük olarak listeleniyor.
Ve son olarak, yine bir Automox araştırmacısı olan Gina Geisel, şu uyarıda bulunuyor: CVE-2022-38028
(CVSS 7.8), kullanıcı etkileşimi gerektirmeyen, düşük ayrıcalıklı ve karmaşıklığı düşük bir güvenlik açığı olarak bir Windows Yazdırma Biriktiricisi EoP hatasıdır.
"Saldırganın, etkilenen bir sistemde oturum açması ve sistem ayrıcalıkları elde etmek için özel hazırlanmış bir komut dosyası veya uygulama çalıştırması gerekir" diye belirtiyor. “Bu saldırgan ayrıcalıklarına örnek olarak program yükleme; verileri değiştirme, değiştirme ve silme; tam kullanıcı haklarına sahip yeni hesaplar oluşturmak; ve ağlar arasında yanal olarak hareket etmek.”
