在其 10 月补丁星期二更新中,微软解决了其 Azure 云服务中的一个严重安全漏洞,在 CVSS 漏洞严重性等级上进行了罕见的 10 分制(满分为 XNUMX 分)。
这家科技巨头还修复了两个“重要”级别的零日漏洞,其中一个正被广泛利用; 此外,SharePoint 中可能还存在第三个问题,该问题也正在被积极利用。
然而,值得注意的是,微软并未针对这两个问题发布修复程序 未修补的 Exchange Server 零日漏洞 XNUMX 月下旬曝光。
85 月份,微软总共发布了 15 个 CVE 的补丁,其中包括 XNUMX 个严重错误。 受影响的产品照常运行整个产品组合:Microsoft Windows 和 Windows 组件; Azure、Azure Arc 和 Azure DevOps; Microsoft Edge(基于 Chromium); 办公和办公组件; 视觉工作室代码; Active Directory 域服务和 Active Directory 证书服务; Nu 获取客户端; 超V; 和 Windows 弹性文件系统 (ReFS)。
这些是对 Microsoft Edge(基于 Chromium)的 11 个补丁和本月早些时候发布的 ARM 处理器中的侧信道推测补丁的补充。
完美 10:罕见的超关键漏洞
十分之十的错误(CVE-2022-37968) 是特权提升 (EoP) 和远程代码执行 (RCE) 问题,可能允许未经身份验证的攻击者获得对启用 Azure Arc 的 Kubernetes 集群的管理控制; 它还可能影响 Azure Stack Edge 设备。
虽然网络攻击者需要知道启用 Azure Arc 的 Kubernetes 集群的随机生成的 DNS 端点才能成功,但利用有很大的回报:他们可以提升他们的集群管理员权限,并有可能获得对 Kubernetes 集群的控制权。
“如果您使用的这些类型的容器版本低于 1.5.8、1.6.19、1.7.18 和 1.8.11,并且它们可以从 Internet 上获得,请立即升级,”漏洞和副总裁 Mike Walters Action1 的威胁研究,通过电子邮件发出警告。
一对(可能是三元组)零日补丁——但不是那些补丁
新的 XNUMXday 确认正在被积极利用(CVE-2022-41033) 是 Windows COM+ 事件系统服务中的一个 EoP 漏洞。 它的CVSS分数为7.8。
Windows COM+ 事件系统服务默认随操作系统启动,负责提供有关登录和注销的通知。 研究人员警告说,从 Windows 7 和 Windows Server 2008 开始的所有 Windows 版本都容易受到攻击,一个简单的攻击就可能导致获得 SYSTEM 权限。
“由于这是一个权限提升漏洞,它很可能与其他旨在接管系统的代码执行漏洞配对,”来自零日倡议 (ZDI) 的 Dustin Childs 在一篇文章中指出 今天分析. “这些类型的攻击通常涉及某种形式的社会工程,例如诱使用户打开附件或浏览恶意网站。 尽管进行了近乎持续的反网络钓鱼培训,尤其是在“网络安全意识月,' 人们倾向于点击所有内容,因此请快速测试和部署此修复程序。”
Tenable 的高级研究工程师 Satnam Narang 在一封电子邮件回顾中指出,经过身份验证的攻击者可以执行特制的应用程序,以利用该漏洞并将权限提升到 SYSTEM。
“虽然提权漏洞需要攻击者通过其他方式获得对系统的访问权限,但它们仍然是攻击者工具箱中的宝贵工具,而且本月的补丁星期二不乏提权漏洞,因为微软修补了 39 ,占修补漏洞的近一半(46.4%),”他说。
根据 Action1 的 Walters 的说法,这个特殊的 EoP 问题应该排在最前面进行修补。
“安装新发布的补丁是强制性的; 否则,登录到访客或普通用户计算机的攻击者可以快速获得该系统的 SYSTEM 权限,并且几乎可以用它做任何事情,”他在电子邮件分析中写道。 “这个漏洞对于基础设施依赖于 Windows Server 的组织来说尤其重要。”
另一个确认的公开已知错误(CVE-2022-41043) 是 Microsoft Office for Mac 中的一个信息披露问题,其 CVSS 风险评级仅为 4 分中的 10 分。
Waters 指出了另一个可能被利用的零日漏洞:SharePoint Server 中的远程代码执行 (RCE) 问题 (CVE-2022-41036, CVSS 8.8) 影响从 SharePoint 2013 Service Pack 1 开始的所有版本。
“在基于网络的攻击中,具有管理列表权限的经过身份验证的对手可以在 SharePoint Server 上远程执行代码并升级为管理权限,”他说。
最重要的是,“微软报告说,一个漏洞可能已经被创建并被黑客组织使用,但还没有证据证明这一点,”他说。 “尽管如此,如果您的 SharePoint Server 对 Internet 开放,则该漏洞值得认真对待。”
没有 ProxyNotShell 补丁
应该注意的是,这不是研究人员所期望的两个零日补丁; 那些错误,CVE-2022-41040 和 CVE-2022-41082, 也称为 ProxyNotShell, 仍未解决。 当链接在一起时,它们可以在 Exchange 服务器上允许 RCE。
“可能更有趣的是本月的版本中没有包含的内容。 尽管有两个 Exchange 漏洞被积极利用了至少两周,但 Exchange Server 没有更新,”Childs 写道。 “这些漏洞是 ZDI 在 XNUMX 月初购买的,当时向微软报告。 由于没有可用的更新来完全解决这些错误,管理员能做的最好的事情就是确保安装 XNUMX 月……累积更新 (CU)。”
Rapid2022 漏洞研究高级经理 Caitlin Condon 表示:“尽管人们寄希望于今天的 Patch Tuesday 版本将包含漏洞修复程序,但 Exchange Server 在 7 年 XNUMX 月安全更新的初始列表中明显缺失。” “微软推荐的阻止已知攻击模式的规则已被多次绕过,强调了真正修复的必要性。”
她补充说,截至 7 月初,Rapid191,000 Labs 观察到多达 443 个潜在易受攻击的 Exchange Server 实例通过端口 XNUMX 暴露于 Internet。 然而,不同于 代理外壳
和 代理登录
漏洞利用链,这组漏洞需要攻击者拥有经过身份验证的网络访问权限才能成功利用。
“到目前为止,攻击仍然是有限的和有针对性的,”她说,并补充说,“随着时间的推移,这种情况不太可能继续下去,威胁参与者有更多机会获得访问权限并完善利用链。 我们几乎肯定会在未来几个月内看到更多的身份验证后漏洞,但真正令人担忧的是,随着 IT 和安全团队实施年终代码冻结,未经身份验证的攻击向量会突然出现。”
管理员注意:要优先处理的其他错误
至于其他需要优先考虑的问题,ZDI 的 Childs 将两个 Windows 客户端服务器运行时子系统 (CSRSS) EoP 错误标记为 CVE-2022-37987
和 CVE-2022-37989
(均为 7.8 CVSS)。
“CVS-2022-37989 是 CVE-2022-22047 的一个失败补丁,这是一个早期的错误,可以看到一些野蛮利用,”他解释说。 “这个漏洞是由于 CSRSS 在接受来自不受信任进程的输入方面过于宽松造成的。 相比之下,CVE-2022-37987 是一种新的攻击,它通过欺骗 CSRSS 从不安全的位置加载依赖信息来发挥作用。”
同样值得注意的是:根据 Rapid7 产品经理 Greg Wiseman 的说法,今天还修复了 XNUMX 个被归类为具有严重严重性的 RCE 错误的 CVE,其中 XNUMX 个影响了点对点隧道协议。 “[这些] 要求攻击者赢得竞争条件才能利用它们,”他通过电子邮件指出。
Automox 研究员 Jay Goodman 补充说 CVE-2022-38048 (CVSS 7.8) 影响所有受支持的 Office 版本,它们可能允许攻击者控制系统,“他们可以在其中自由安装程序、查看或更改数据,或在目标系统上创建具有完全用户权限的新帐户。” 虽然该漏洞不太可能被利用,但根据微软的说法,攻击复杂性被列为低。
最后,同样是 Automox 研究人员的 Gina Geisel 警告说 CVE-2022-38028
(CVSS 7.8),一个 Windows Print Spooler EoP 漏洞,作为一个不需要用户交互的低权限和低复杂性漏洞。
“攻击者必须登录到受影响的系统并运行特制的脚本或应用程序才能获得系统权限,”她指出。 “这些攻击者特权的例子包括安装程序; 修改、更改和删除数据; 创建具有完全用户权限的新帐户; 并在网络中横向移动。”
