Корпорація Майкрософт випустила виправлення для 48 нових уразливостей у своїх продуктах, включаючи одну, яку активно використовують зловмисники, і іншу, яка була оприлюднена, але зараз не використовується активно.
Шість уразливостей, які компанія виправила в своєму останньому щомісячному оновленні безпеки за рік, вказані як критичні. Він присвоїв важливий рейтинг серйозності 43 вразливостям і дав трьом недолікам помірну оцінку серйозності.
Оновлення Microsoft включає виправлення для позасмугових CVE, які було усунено протягом минулого місяця, а також 23 уразливості в технології браузера Google Chromium, на якій базується браузер Microsoft Edge.
Активно використовувана помилка безпеки
Вада, якою активно користуються зловмисники (CVE-2022-44698) не входить до числа найбільш критичних помилок, для яких Microsoft випустила виправлення сьогодні. Ця помилка дає зловмисникам можливість обійти функцію безпеки Windows SmartScreen для захисту користувачів від шкідливих файлів, завантажених з Інтернету.
«Зловмисник може створити шкідливий файл, який уникне захисту Mark of the Web (MOTW), що призведе до обмеженої втрати цілісності та доступності функцій безпеки, таких як Protected View у Microsoft Office, які покладаються на теги MOTW», — заявили в Microsoft.
CVE-2022-44698 становить лише відносно невеликий ризик для організацій, каже Кевін Брін, директор із дослідження кіберзагроз у Immersive Labs. «Його слід використовувати разом із виконуваним файлом або іншим шкідливим кодом, наприклад документом або файлом сценарію», — каже Брін. «У таких ситуаціях цей CVE обходить деякі вбудовані засоби сканування та виявлення репутації Microsoft, а саме SmartScreen, який зазвичай з’являється, щоб повідомити користувачеві, що файл може бути небезпечним».
У той же час, користувачі не повинні недооцінювати загрозу і повинні швидко виправити проблему, рекомендує Брін.
Microsoft описала інший недолік — проблему з підвищенням привілеїв у графічному ядрі DirectX — як загальновідомий нульовий день, але не під активним експлойтом. Компанія оцінила вразливість (CVE-2022-44710) як «Важливий» за ступенем серйозності та такий, що дозволить зловмиснику отримати привілеї на системному рівні в разі використання. Однак компанія описала недолік як той, яким зловмисники менш імовірно скористаються.
Уразливі місця для виправлення
ZDI компанії Trend Micro позначив три інші вразливості в грудневому оновленні безпеки у вівторок як значні: CVE-2022-44713, CVE-2022-41076 та CVE-2022-44699.
CVE-2022-44713 є спуфінгом у Microsoft Outlook для Mac. Уразливість дозволяє зловмиснику виглядати як довірений користувач і змушує жертву сприймати повідомлення електронної пошти так, ніби воно надійшло від законного користувача.
«Ми нечасто висвітлюємо помилки спуфінгу, але щоразу, коли ви маєте справу з помилкою спуфінгу в клієнті електронної пошти, ви повинні звернути увагу», — керівник відділу поінформованості про загрози ZDI Дастін Чайлдс. сказав в блозі. За його словами, уразливість може виявитися особливо проблемною в поєднанні з вищезгаданим недоліком обходу SmartScreen MoTW, яким активно користуються зловмисники.
CVE-2022-41076 — це вразливість PowerShell віддаленого виконання коду (RCE), яка дозволяє автентифікованому зловмиснику уникнути конфігурації віддаленого сеансу PowerShell і запускати довільні команди в ураженій системі, повідомила Microsoft.
Компанія оцінила вразливість як те, що зловмисники, швидше за все, скомпрометують, навіть незважаючи на те, що сама складність атаки висока. За словами Чайлдса, організаціям слід звернути увагу на вразливість, оскільки це тип недоліку, яким часто користуються зловмисники, коли хочуть «жити за рахунок землі» після отримання початкового доступу до мережі.
«Однозначно не ігноруйте цей патч», — написав Чайлдс.
І, нарешті, CVE-2022-44699 — це ще одна вразливість системи безпеки — цього разу в Azure Network Watcher Agent - які, якщо їх використовувати, можуть вплинути на здатність організації отримувати журнали, необхідні для реагування на інциденти.
«Можливо, небагато підприємств покладаються на цей інструмент, але для тих, хто використовує розширення віртуальної машини [Azure Network Watcher], це виправлення слід розглядати як критичне та швидко розгорнути», — сказав Чайлдс.
Дослідники з Cisco Talos виявив три інші вразливості як критичні та проблеми, які організації повинні вирішити негайно. Однією з них є CVE-2022-41127, уразливість RCE, яка впливає на Microsoft Dynamics NAV і локальні версії Microsoft Dynamics 365 Business Central. Успішний експлойт може дозволити зловмиснику виконати довільний код на серверах, на яких працює програма Microsoft Dynamics NAV ERP, повідомили дослідники Talos у блозі.
Дві інші вразливості, які постачальник вважає дуже важливими, це CVE-2022-44670 та CVE-2022-44676, обидва з яких є недоліками RCE у протоколі тунелювання безпечних сокетів Windows (SSTP).
«Для успішного використання цих вразливостей зловмиснику потрібно виграти гонку, але це може дозволити зловмиснику віддалено виконувати код на серверах RAS», — йдеться в повідомленні Microsoft.
Серед уразливостей, які SANS Internet Storm Center визначені як важливі (CVE-2022-41089), RCE у .NET Framework і (CVE-2022-44690) у Microsoft SharePoint Server.
В блог, Майк Уолтерс, віце-президент із дослідження вразливостей і загроз у Action1 Corp., також вказав на вразливість Windows Print Spooler, що може призвести до підвищення привілеїв (CVE-2022-44678), як інше питання дивитися.
«Нещодавно вирішений CVE-2022-44678, швидше за все, буде використаний, і це, ймовірно, правда, оскільки минулого місяця Microsoft виправила іншу вразливість нульового дня, пов’язану з Print Spooler», — сказав Волтерс. «Ризик від CVE-2022-44678 однаковий: зловмисник може отримати привілеї SYSTEM після успішного використання - але тільки локально».
Плутана кількість помилок
Цікаво, що кілька постачальників по-різному бачили кількість вразливостей, які Microsoft виправила цього місяця. ZDI, наприклад, оцінив, що Microsoft виправила 52 уразливості; Talos прив’язав число до 48, SANS до 74, а Action1 спочатку наказав Microsoft виправити 74, а потім зменшити його до 52.
Йоганнес Ульріх, декан відділу досліджень Технологічного інституту SANS, каже, що проблема пов’язана з різними способами підрахунку вразливостей. Деякі, наприклад, включають уразливості Chromium до свого підрахунку, а інші – ні.
Інші, наприклад SANS, також включають поради щодо безпеки, які іноді супроводжують оновлення Microsoft як уразливості. Microsoft також іноді випускає виправлення протягом місяця, які вона також включає в наступне оновлення Patch Tuesday, і деякі дослідники не враховують їх.
«Кількість патчів іноді може збивати з пантелику, оскільки технічно цикл патч-вівторка припадає на листопад-грудень, тому сюди також включатимуться патчі, які були випущені на початку місяця, а також оновлення від сторонніх постачальників», — каже Брін. . «Найпомітнішими з них є виправлення від Google для Chromium, який є основою для браузера Microsoft Edge».
За його підрахунками, Брін каже, що після останнього патча вівторок у листопаді було виправлено 74 уразливості. Це включає 51 від Microsoft і 23 від Google для браузера Edge.
«Якщо ми виключимо [патчі] поза діапазоном і Google Chromium, сьогодні було випущено 49 патчів для уразливостей», — каже він.
Представник Microsoft каже, що кількість нових CVE, для яких компанія випустила сьогодні патчі, становила 48.
