Ekim Yaması Salı güncellemesi için Microsoft, Azure bulut hizmetindeki kritik bir güvenlik açığını ele aldı ve CVSS güvenlik açığı-önem ölçeğinde 10 üzerinden 10’luk nadir bir puan aldı.

Teknoloji devi ayrıca, biri vahşi doğada aktif olarak kullanılan iki “önemli” sıfır-gün hatasını da yamaladı; ve ayrıca, SharePoint’te aktif olarak istismar edilen üçüncü bir sorun olabilir.

Bununla birlikte, Microsoft, Eylül ayı sonlarında ortaya çıkan iki yamasız Exchange Server sıfır gün hatası için düzeltmeler yayınlamadı.

Microsoft, Ekim ayının tamamında, 15 kritik hata dahil 85 CVE için yamalar yayınladı. Etkilenen ürünler, ürün portföyünün gamını her zamanki gibi çalıştırır: Microsoft Windows ve Windows Bileşenleri; Azure, Azure Arc ve Azure DevOps; Microsoft Edge (Chromium tabanlı); Ofis ve Ofis Bileşenleri; Visual Studio Kodu; Active Directory Etki Alanı Hizmetleri ve Active Directory Sertifika Hizmetleri; Nu Get Client; Hiper-V; ve Windows Esnek Dosya Sistemi (ReFS).

Bunlar, Microsoft Edge (Chromium tabanlı) için 11 yamaya ve ayın başlarında piyasaya sürülen ARM işlemcilerinde yan kanal spekülasyonları için bir yamaya ek olarak.

A Perfect 10: Nadir Ultra Kritik Güvenlik Açığı

10’dan 10’u hata (CVE-2022-37968), kimliği doğrulanmamış bir saldırganın Azure Arc’ın etkin olduğu Kubernetes kümeleri üzerinde yönetim denetimi elde etmesine olanak verebilecek bir ayrıcalık yükselmesi (EoP) ve uzaktan kod yürütme (RCE) sorunudur; Azure Stack Edge cihazlarını da etkileyebilir.

Siber saldırganların Azure Arc özellikli bir Kubernetes kümesinin başarılı olması için rastgele oluşturulmuş DNS uç noktasını bilmesi gerekirken, istismarın büyük bir getirisi vardır: Ayrıcalıklarını küme yöneticisine yükseltebilir ve potansiyel olarak Kubernetes kümesi üzerinde kontrol elde edebilirler.

Güvenlik açığı ve zafiyetten sorumlu başkan yardımcısı Mike Walters, “Sürüm 1.5.8, 1.6.19, 1.7.18 ve 1.8.11’den daha düşük olan bu tür kapsayıcıları kullanıyorsanız ve bunlar İnternet’te mevcutsa, hemen yükseltin.” Action1’deki tehdit araştırması, e-posta yoluyla uyarıldı.

Bir Çift (Belki Üçlü) Sıfır Gün Yamaları – ama BU Yamalar Değil

Yeni sıfır gün, aktif istismar altında olduğu doğrulandı (CVE-2022-41033), Windows COM+ Olay Sistemi Hizmetindeki bir EoP güvenlik açığıdır. 7.8 CVSS puanı taşır.

Windows COM+ Olay Sistemi Hizmeti, varsayılan olarak işletim sistemiyle başlatılır ve oturum açmalar ve oturum kapatmalar hakkında bildirimler sağlamaktan sorumludur. Araştırmacılar, Windows 7 ve Windows Server 2008 ile başlayan tüm Windows sürümlerinin savunmasız olduğu ve basit bir saldırının SYSTEM ayrıcalıklarının kazanılmasına yol açabileceği konusunda uyardı.

Zero Day Initiative’den (ZDI) Dustin Childs, “Bu bir ayrıcalık yükseltme hatası olduğundan, muhtemelen bir sistemi ele geçirmek için tasarlanmış diğer kod yürütme açıklarıyla eşleştirilmiştir.” bugün analiz. “Bu tür saldırılar, genellikle bir kullanıcıyı bir eki açmaya veya kötü amaçlı bir web sitesine göz atmaya ikna etmek gibi bir tür sosyal mühendislik içerir. Özellikle ‘Siber Güvenlik Farkındalık Ayı’ sırasında, neredeyse sürekli kimlik avı önleme eğitimine rağmen, insanlar her şeyi tıklayın, bu nedenle bu düzeltmeyi hızlı bir şekilde test edin ve dağıtın.”

Tenable’da kıdemli araştırma mühendisi olan Satnam Narang, e-postayla gönderilen bir özette, kimliği doğrulanmış bir saldırganın, hatadan yararlanmak ve SYSTEM ayrıcalıklarını yükseltmek için özel olarak hazırlanmış bir uygulamayı çalıştırabileceğini belirtti.

“Ayrıcalık yükseltme güvenlik açıkları, bir saldırganın bir sisteme başka yollarla erişmesini gerektirse de, bunlar hala bir saldırganın araç kutusundaki değerli bir araçtır ve Microsoft’un 39 yaması ile bu ayın Salı Yaması’nda ayrıcalık yükseltme kusurları sıkıntısı yoktur. , yamalı hataların neredeyse yarısını (% 46.4) oluşturuyor” dedi.

Action1’den Walters’a göre, bu özel EoP sorunu, yama için hattın başına gitmeli.

E-postayla gönderilen bir analizde, “Yeni yayınlanan yamayı yüklemek zorunludur; aksi takdirde, bir konuk veya sıradan bir kullanıcı bilgisayarında oturum açan bir saldırgan, bu sistemde hızla SİSTEM ayrıcalıkları kazanabilir ve onunla neredeyse her şeyi yapabilir” diye yazdı. . “Bu güvenlik açığı, altyapısı Windows Server’a dayanan kuruluşlar için özellikle önemlidir.”

Diğer onaylanmış, genel olarak bilinen hata (CVE-2022-41043), Mac için Microsoft Office’te 10 üzerinden yalnızca 4 gibi düşük bir CVSS risk derecesine sahip bir bilgi ifşa sorunudur.

Waters, potansiyel olarak istismar edilmiş başka bir sıfır güne işaret etti: SharePoint Server’da bir uzaktan kod yürütme (RCE) sorunu (CVE-2022-41036CVSS 8.8), SharePoint 2013 Service Pack 1 ile başlayan tüm sürümleri etkiler.

“Ağ tabanlı bir saldırıda, Yönetim Listesi izinlerine sahip kimliği doğrulanmış bir düşman, SharePoint Sunucusunda uzaktan kod yürütebilir ve yönetici izinlerine yükselebilir” dedi.

En önemlisi, “Microsoft, bir istismarın büyük olasılıkla zaten oluşturulduğunu ve hacker grupları tarafından kullanıldığını bildiriyor, ancak bunun henüz bir kanıtı yok” dedi. “Yine de, internete açık bir SharePoint Sunucunuz varsa, bu güvenlik açığı ciddiye alınmaya değer.”

ProxyNotShell Yamaları Yok

Bunların, araştırmacıların beklediği iki sıfır gün yaması olmadığına dikkat edilmelidir; ProxyNotShell olarak da bilinen bu hatalar, CVE-2022-41040 ve CVE-2022-41082, adreslenmeden kalır. Birlikte zincirlendiklerinde, Exchange Sunucularında RCE’ye izin verebilirler.

Childs, “Daha ilginç olan şey, bu ayki sürümde bulunmayanlardır. En az iki hafta boyunca iki Exchange hatasının aktif olarak kullanılmasına rağmen Exchange Server için herhangi bir güncelleme yok,” diye yazdı Childs. “Bu hatalar ZDI tarafından satın alındı. Eylül ayının başında ve o sırada Microsoft’a rapor edildi. Bu hataları tam olarak giderecek hiçbir güncelleme bulunmadığından, yöneticilerin yapabileceği en iyi şey Eylül… Toplu Güncelleştirmenin (CU) yüklendiğinden emin olmaktır.”

Rapid7 güvenlik açığı araştırmaları kıdemli yöneticisi Caitlin Condon, “Bugünün Salı Yaması sürümünün güvenlik açıkları için düzeltmeler içereceğine dair yüksek umutlara rağmen, Exchange Server, Ekim 2022 güvenlik güncellemelerinin ilk listesinde bariz bir şekilde eksik” diyor. “Microsoft’un bilinen saldırı modellerini engellemek için önerilen kuralı, gerçek bir düzeltmenin gerekliliğini vurgulayarak birden çok kez atlandı.”

Rapid7 Labs, Eylül ayı başlarından itibaren, 443 numaralı bağlantı noktası üzerinden İnternet’e maruz kalan 191.000’e kadar potansiyel olarak savunmasız Exchange Server örneğini gözlemledi. Ancak, ProxyShell ve ProxyLogon istismar zincirlerinden farklı olarak, bu hata grubu, başarılı bir istismar için saldırganın kimliği doğrulanmış ağ erişimine sahip olmasını gerektirir.

“Şimdiye kadar saldırılar sınırlı ve hedefli kaldı” diyor ve ekliyor: “Zaman geçtikçe ve tehdit aktörlerinin erişim elde etmek ve açıklardan yararlanma zincirlerini geliştirmek için daha fazla fırsatı olduğu için bunun devam etmesi pek mümkün değil. Neredeyse kesinlikle ek doğrulama sonrası göreceğiz. güvenlik açıkları önümüzdeki aylarda ortaya çıkacak, ancak asıl endişe, BT ve güvenlik ekipleri yıl sonu kod dondurmaları uygularken ortaya çıkan kimliği doğrulanmamış bir saldırı vektörü olacaktır.”

Yöneticiler Dikkat Ediyor: Öncelik Verilmesi Gereken Diğer Hatalar

Öncelik verilmesi gereken diğer konulara gelince, ZDI’den Childs, şu şekilde izlenen iki Windows İstemci Sunucusu Çalışma Zamanı Alt Sistemi (CSRSS) EoP hatasını işaretledi: CVE-2022-37987
ve CVE-2022-37989
(her ikisi de 7.8 CVSS).

“CVS-2022-37989, CVE-2022-22047 için başarısız bir yamadır, daha önce vahşi bir şekilde sömürülen bir hatadır,” diye açıkladı. “Bu güvenlik açığı, CSRSS’nin güvenilmeyen işlemlerden gelen girdileri kabul etmede çok hoşgörülü olmasından kaynaklanır. Buna karşılık, CVE-2022-37987, CSRSS’yi aldatarak güvenli olmayan bir yerden bağımlılık bilgilerini yüklemeye çalışan yeni bir saldırıdır.”

Ayrıca dikkate değer: Rapid7 ürün müdürü Greg Wiseman’a göre kritik önem derecesine sahip RCE hataları olarak sınıflandırılan dokuz CVE de bugün düzeltildi ve bunlardan yedisi Noktadan Noktaya Tünel Protokolünü etkiliyor. “[These] bir saldırganın bunlardan yararlanmak için bir yarış koşulunu kazanmasını gerektiriyor” diye e-posta yoluyla kaydetti.

Automox araştırmacısı Jay Goodman şunu ekliyor: CVE-2022-38048 (CVSS 7.8), Office’in tüm desteklenen sürümlerini etkiler ve bir saldırganın, programları yüklemek, verileri görüntülemek veya değiştirmek veya hedef sistemde tam kullanıcı haklarına sahip yeni hesaplar oluşturmak için özgür olacakları bir sistemin kontrolünü ele geçirmesine izin verebilir. ” Güvenlik açığından yararlanma olasılığı daha düşük olsa da, Microsoft’a göre saldırı karmaşıklığı düşük olarak listeleniyor.

Ve son olarak, yine bir Automox araştırmacısı olan Gina Geisel, şu uyarıda bulunuyor: CVE-2022-38028
(CVSS 7.8), kullanıcı etkileşimi gerektirmeyen, düşük ayrıcalıklı ve karmaşıklığı düşük bir güvenlik açığı olarak bir Windows Yazdırma Biriktiricisi EoP hatasıdır.

“Saldırganın, etkilenen bir sistemde oturum açması ve sistem ayrıcalıkları elde etmek için özel olarak hazırlanmış bir komut dosyası veya uygulama çalıştırması gerekir” diye belirtiyor. “Bu saldırgan ayrıcalıklarına örnek olarak, program yükleme, verileri değiştirme, değiştirme ve silme, tam kullanıcı haklarına sahip yeni hesaplar oluşturma ve ağlar arasında yanlamasına hareket etme sayılabilir.”



siber-1