Microsoft abordează zero-zile, dar lanțul de exploatare a serverului Exchange rămâne nepattched

Pentru actualizarea sa din octombrie Patch Tuesday, Microsoft a abordat o vulnerabilitate critică de securitate în serviciul său cloud Azure, având o evaluare rară de 10 din 10 pe scala de severitate a vulnerabilității CVSS.

De asemenea, gigantul tehnologic a corectat două erori „importante” de tip zero-day, dintre care una este exploatată activ în sălbăticie; și mai departe, poate exista o a treia problemă, în SharePoint, care este, de asemenea, exploatată în mod activ.

În mod remarcabil, totuși, Microsoft nu a emis remedieri pentru cele două erori de tip zero-day Exchange Server necorectate care a ieșit la iveală la sfârșitul lunii septembrie.

În total, pentru octombrie, Microsoft a lansat patch-uri pentru 85 de CVE, inclusiv 15 erori critice. Produsele afectate acoperă gama de produse ca de obicei: Microsoft Windows și Windows Components; Azure, Azure Arc și Azure DevOps; Microsoft Edge (pe bază de crom); Componente de birou și birou; Cod Visual Studio; Servicii de domeniu Active Directory și Servicii de certificate Active Directory; Nu Get Client; Hyper-V; și Windows Resilient File System (ReFS).

Acestea sunt în plus față de 11 patch-uri pentru Microsoft Edge (pe bază de crom) și un patch pentru speculații pe canalul lateral în procesoarele ARM lansate la începutul lunii.

Un 10 perfect: Vuln ultra-critic rar

Bug-ul 10 din 10 (CVE-2022-37968) este o problemă de creștere a privilegiilor (EoP) și de execuție a codului de la distanță (RCE) care ar putea permite unui atacator neautentificat să obțină control administrativ asupra clusterelor Kubernetes activate pentru Azure Arc; ar putea afecta și dispozitivele Azure Stack Edge.

În timp ce atacatorii cibernetici ar trebui să cunoască punctul final DNS generat aleatoriu pentru ca un cluster Kubernetes compatibil Azure Arc să aibă succes, exploatarea are un mare profit: își pot ridica privilegiile de administrator al clusterului și pot obține controlul asupra clusterului Kubernetes.

„Dacă utilizați aceste tipuri de containere cu o versiune mai mică decât 1.5.8, 1.6.19, 1.7.18 și 1.8.11 și sunt disponibile de pe Internet, faceți upgrade imediat”, Mike Walters, vicepreședinte pentru vulnerabilitate și cercetarea amenințărilor la Action1, avertizat prin e-mail.

O pereche (poate o triadă) de plasturi Zero-Day – dar nu ACELE plasturi

Noul zero-day confirmat ca fiind sub exploatare activă (CVE-2022-41033) este o vulnerabilitate EoP în Windows COM+ Event System Service. Are un scor CVSS de 7.8.

Serviciul Windows COM+ Event System este lansat în mod implicit cu sistemul de operare și este responsabil pentru furnizarea de notificări despre conectări și deconectare. Toate versiunile de Windows care încep cu Windows 7 și Windows Server 2008 sunt vulnerabile, iar un simplu atac poate duce la obținerea privilegiilor de SISTEM, au avertizat cercetătorii.

„Deoarece aceasta este o eroare de escaladare a privilegiilor, este probabil asociată cu alte exploit-uri de execuție a codului concepute pentru a prelua un sistem”, a menționat Dustin Childs, de la Zero Day Initiative (ZDI), într-un articol. analiza azi. „Aceste tipuri de atacuri implică adesea o formă de inginerie socială, cum ar fi atragerea unui utilizator să deschidă un atașament sau să navigheze la un site web rău intenționat. În ciuda antrenamentului anti-phishing aproape constant, mai ales în timpul 'Luna de conștientizare a securității cibernetice,' oamenii tind să facă clic pe orice, așa că testează și implementează rapid această remediere.”

Satnam Narang, inginer de cercetare senior de la Tenable, a remarcat într-o recapitulare trimisă prin e-mail că un atacator autentificat ar putea executa o aplicație special concepută pentru a exploata eroarea și a ridica privilegiile la SYSTEM.

„În timp ce vulnerabilitățile de creștere a privilegiilor necesită ca un atacator să obțină acces la un sistem prin alte mijloace, ele sunt totuși un instrument valoros în cutia de instrumente a atacatorului, iar Patch Tuesday din această lună nu are lipsă de defecte de elevare a privilegiilor, așa cum Microsoft a corectat 39. , reprezentând aproape jumătate dintre erorile remediate (46.4%)”, a spus el.

Această problemă specială EoP ar trebui să ajungă la șeful de linie pentru corecție, potrivit Walters de la Action1.

„Instalarea patch-ului nou lansat este obligatorie; în caz contrar, un atacator care este conectat la un computer oaspete sau utilizator obișnuit poate obține rapid privilegii de SISTEM pe acel sistem și poate face aproape orice cu el”, a scris el, într-o analiză trimisă prin e-mail. „Această vulnerabilitate este deosebit de importantă pentru organizațiile a căror infrastructură se bazează pe Windows Server.”

Cealaltă eroare confirmată cunoscută public (CVE-2022-41043) este o problemă de divulgare a informațiilor în Microsoft Office pentru Mac, care are o evaluare scăzută a riscului CVSS de doar 4 din 10.

Waters a indicat o altă zi zero potențial exploatată: o problemă de execuție a codului de la distanță (RCE) în SharePoint Server (CVE-2022-41036, CVSS 8.8) care afectează toate versiunile începând cu SharePoint 2013 Service Pack 1.

„Într-un atac în rețea, un adversar autentificat cu permisiuni de gestionare a listei ar putea executa cod de la distanță pe serverul SharePoint și ar putea escalada la permisiuni administrative”, a spus el.

Cel mai important, „Microsoft raportează că probabil a fost deja creată o exploatare și este folosită de grupuri de hackeri, dar nu există încă nicio dovadă în acest sens”, a spus el. „Cu toate acestea, această vulnerabilitate merită luată în serios dacă aveți un server SharePoint deschis pe internet.”

Fără patch-uri ProxyNotShell

Trebuie remarcat faptul că acestea nu sunt cele două patch-uri zero-day la care se așteptau cercetătorii; acele erori, CVE-2022-41040 și CVE-2022-41082, cunoscut și sub numele de ProxyNotShell, rămâne neadresată. Când sunt înlănțuite împreună, pot permite RCE pe serverele Exchange.

„Ceea ce poate fi mai interesant este ceea ce nu este inclus în lansarea din această lună. Nu există actualizări pentru Exchange Server, în ciuda faptului că două erori Exchange sunt exploatate în mod activ timp de cel puțin două săptămâni”, a scris Childs. „Aceste erori au fost achiziționate de ZDI la începutul lunii septembrie și raportate la Microsoft la acea vreme. Fără actualizări disponibile pentru a rezolva pe deplin aceste erori, cei mai buni administratori pe care îl pot face este să se asigure că este instalată Actualizarea cumulativă (CU) din septembrie.”

„În ciuda speranțelor mari că lansarea Patch Tuesday de astăzi va conține remedieri pentru vulnerabilități, Exchange Server lipsește în mod evident din lista inițială a actualizărilor de securitate din octombrie 2022”, spune Caitlin Condon, senior manager pentru cercetarea vulnerabilităților la Rapid7. „Regula recomandată de Microsoft pentru blocarea tiparelor de atac cunoscute a fost ocolită de mai multe ori, subliniind necesitatea unei remedieri adevărate.”

La începutul lunii septembrie, Rapid7 Labs a observat până la 191,000 de instanțe potențial vulnerabile ale Exchange Server expuse la Internet prin portul 443, adaugă ea. Cu toate acestea, spre deosebire de ProxyShell
și ProxyLogon
lanțuri de exploatare, acest grup de erori necesită ca un atacator să aibă acces autentificat la rețea pentru exploatarea cu succes.

„Până acum, atacurile au rămas limitate și vizate”, spune ea, adăugând: „Este puțin probabil ca acest lucru să continue pe măsură ce timpul trece și actorii amenințărilor au mai multe șanse de a obține acces și de a perfecționa lanțurile de exploatare. Aproape sigur vom vedea vulnerabilități suplimentare post-autentificare lansate în lunile următoare, dar adevărata îngrijorare ar fi un vector de atac neautentificat care va apărea pe măsură ce echipele IT și de securitate implementează înghețarea codului de sfârșit de an.”

Administratorii iau notă: alte erori de prioritizat

În ceea ce privește alte probleme de prioritizat, Childs de la ZDI a semnalat două erori EoP Windows Client Server Run-time Subsystem (CSRSS) urmărite ca CVE-2022-37987
și CVE-2022-37989
(ambele 7.8 CVSS).

„CVS-2022-37989 este un patch eșuat pentru CVE-2022-22047, o eroare anterioară care a văzut o exploatare în sălbăticie”, a explicat el. „Această vulnerabilitate rezultă din faptul că CSRSS este prea îngăduitor în acceptarea inputurilor din procesele neîncrezătoare. În schimb, CVE-2022-37987 este un nou atac care funcționează prin înșelarea CSRSS pentru a încărca informații de dependență dintr-o locație nesecurizată.”

De asemenea, notabil: nouă CVE-uri clasificate ca erori RCE cu gravitate critică au fost, de asemenea, corectate astăzi, iar șapte dintre ele afectează Protocolul de tunel punct la punct, conform Greg Wiseman, manager de produs la Rapid7. „[Aceste] necesită ca un atacator să câștige o condiție de cursă pentru a le exploata”, a menționat el prin e-mail.

Cercetătorul Automox Jay Goodman adaugă asta CVE-2022-38048 (CVSS 7.8) afectează toate versiunile acceptate de Office și ar putea permite unui atacator să preia controlul asupra unui sistem „în care ar fi liber să instaleze programe, să vadă sau să modifice date sau să creeze conturi noi pe sistemul țintă cu drepturi de utilizator complete. .” În timp ce vulnerabilitatea este mai puțin probabil să fie exploatată, conform Microsoft, complexitatea atacului este listată ca fiind scăzută.

Și, în sfârșit, Gina Geisel, de asemenea, cercetător Automox, avertizează că CVE-2022-38028
(CVSS 7.8), o eroare Windows Print Spooler EoP, ca o vulnerabilitate cu privilegii reduse și complexitate redusă care nu necesită interacțiunea utilizatorului.

„Un atacator ar trebui să se conecteze la un sistem afectat și să ruleze un script sau o aplicație special concepute pentru a obține privilegii de sistem”, notează ea. „Exemple de aceste privilegii de atacator includ instalarea de programe; modificarea, modificarea și ștergerea datelor; crearea de noi conturi cu drepturi complete de utilizator; și deplasându-se lateral în jurul rețelelor.”