Запомнете тези Нулев ден Кое се появи в рекламен пожар през септември 2022 г.?
Тези недостатъци и атаките, базирани на тях, бяха умело, но подвеждащо дублирани ProxyNotShell Защото съответните слабости ни напомнят ProxyShell Уязвимост на фондовата борса се появи в новините през август 2021 г.
За щастие, за разлика от ProxyShell, новите бъгове не бяха пряко експлоатирани от всеки с интернет връзка и погрешно усещане за приключение в киберсигурността.
Този път се нуждаехте от удостоверена връзка, което обикновено означаваше, че първо трябва да получите или познаете правилно имейл паролата на текущия потребител и след това да направите умишлен опит да влезете там, където сте знаели, че не трябва да бъде, преди да можете От извършване на каквото и да е „търсене“, за да „помогне“ на системните администратори на сървъри с тяхната работа:
Щракнете и плъзнете върху звуковите вълни по-долу, за да прескочите до всяка точка. Можете също слушайте на живо на Soundcloud.
Независимо от това, ние подозираме, че много хиляди самопровъзгласили се „изследователи на киберсигурността“, които са били щастливи да разследват сървърите на други хора „за забавление“, когато грешките на Log4Shell и ProxyShell са били в ярост, осъзнавайки, че може да възпират презумпцията за невинност, ако тя е хваната и критикувана. Но подозираме, че са помислили два пъти, преди да бъдат хванати да се преструват на потребители, които са знаели, че не са, опитвайки се да получат достъп до сървъри под прикритието на акаунти, за които са знаели, че трябва да бъдат блокирани, и след това да се отдръпнат от своето „ние просто се опитвахме да помощ” извинение.
Следователно, въпреки че ние желание Че Microsoft ще излезе с бързо решение извън обхвата, ние не сме го направили очакване един…
…и затова предположихме, може би общо с повечето читатели на Naked Security, че корекциите ще пристигнат спокойно и без да бързат като част от корекцията през октомври 2022 г. във вторник, до която остават още повече от две седмици.
В края на краищата, бързането през корекциите на киберсигурността е малко като тичане с ножица или използване на горното стъпало на стълбище: има начини да го направите безопасно, ако трябва, но е най-добре да избягвате да го правите напълно, ако можете.
Въпреки това петната Не се появи във вторникy Освен това, разбира се, за наша умерена изненада, въпреки че бяхме доволни и сигурни, че поправките ще се появят най-късно във вторник, ноември 2022 г.:
Корекция във вторник накратко – фиксирана за 0 дни, но няма корекции за Exchange!
Интересното е, че отново сгрешихме (поне строго погледнато): ProxyNotShell Спотовете не работеха вътре Вторник кръпка за ноември, но те получиха кръпка на мен Patch вторник, вместо това ще пристигне в серия от Обменете актуализации за сигурност (SU), пуснати на същия ден:
ноември 2022 г [Exchange] SUs е наличен за [Exchange 2013, 2016 and 2019].
Тъй като сме запознати с активни експлойти на съответните уязвимости (ограничени целеви атаки), нашата препоръка е да инсталирате тези актуализации незабавно, за да ги защитите от тези атаки.
Модулите за насочване от ноември 2022 г. съдържат корекции за уязвимости от нулевия ден, които бяха публично докладвани на 29 септември 2022 г. (CVE-2022-41040 и CVE-2022-41082).
Тези уязвимости засягат Exchange Server. Клиентите на Exchange Online вече са защитени от уязвимостите, адресирани в тези модули, и не е необходимо да предприемат други действия, освен да актуализират който и да е Exchange сървър в тяхната среда.
Предполагаме, че тези корекции не са част от редовния коригиращ механизъм от вторник, защото накратко те не са това, което Microsoft нарича CU. Кумулативни актуализации.
Това означава, че първо трябва да се уверите, че текущата ви инсталация на Exchange е достатъчно актуална, за да приеме новите корекции, и че подготвителният процес е малко по-различен в зависимост от вашата версия на Exchange.
62 допълнителни дупки, 4 нови нулеви дни
Тези стари бъгове в Exchange не бяха единствените нулеви дни, коригирани във вторник на корекцията.
Редовните актуализации на Windows Patch във вторник адресират 62 други уязвимости, четири от които са открити за първи път от неизвестни нападатели и вече са използвани за неразкрити цели, или нулев ден За кратък период.
(нула Тъй като никога не е имало ден, в който да можете да приложите корекции преди измамниците, без значение колко бързо са публикувани актуализациите.)
Ще обобщим бързо тези четири грешки от нулевия ден тук; За по-подробно покритие на всички 62 уязвимости, както и статистика за разпространението на грешки като цяло, моля, вижте Доклад на SophosLabs На нашия дъщерен сайт Sophos News:
Microsoft коригира 62 уязвимости, включително Kerberos, Mark of the Web, Exchange… нещо като
Фиксирани нулеви дни в корекции във вторник за този месец:
- CVE-2022-41128: Скриптови езици на Windows Уязвимост при отдалечено изпълнение на код. Заглавието казва всичко: минирани скриптове от отдалечено местоположение могат да избягат от пясъчника, който трябва да ги направи безобидни, и да изпълняват код по избор на нападателя. Обикновено това означава, че дори информиран потребител, който току-що е разгледал уеб страница на блокиран сървър, може да се окаже със злонамерен софтуер, тайно поставен на компютъра му, без да щракне върху връзки за изтегляне, да види изскачащи прозорци или да кликне върху предупреждения за сигурност. Очевидно този бъг е в стария Microsoft
Jscript9JavaScript двигателят, който вече не се използва в Edge (който сега използва V8 JavaScript системата на Google), но все още се използва от други приложения на Microsoft, включително стария браузър Internet Explorer. - CVE-2022-41073: Спулерът за печат на Windows премахна уязвимост на привилегии. Спулерът за печат е там, за да улови изхода на принтера от много различни програми и потребители и дори от отдалечени компютри и след това да го достави по подреден начин до желаното устройство, дори ако хартията е свършила, когато сте се опитали да печатате, или вече беше зает да печата нечия дълга работа. Това обикновено означава, че охладителите са програмно сложни и изискват привилегии на системно ниво, за да могат да действат като “преговарящи” между непривилегировани потребители и принтерното устройство. Windows Printer Spooler използва всички мощни локални функции
SYSTEMКакто отбелязва бюлетинът на Microsoft: „Атакуващ, който успешно е използвал тази уязвимост, може да получи системни привилегии.“ - CVE-2022-41125: Повишете Windows CNG Key Isolation Service за слабост на привилегиите. Както при бъга на Print Spooler по-горе, нападателите, които искат да се възползват от тази дупка, първо се нуждаят от опора на вашата система. Но дори и да са влезли като обикновен потребител или гост в началото, те могат да получат правомощия, подобни на системния администратор, като преминат през тази уязвимост. По ирония на съдбата тази грешка е в частно защитен процес, който се изпълнява като част от това, което се нарича Windows LSA (локален системен орган) трябва да затрудни нападателите при извличането на кеширани пароли и ключове за криптиране от системната памет. Предполагаме, че след експлоатиране на този бъг, атакуващите ще могат да заобиколят нивото на сигурност, което самата услуга за изолиране на ключове трябва да осигури, заедно със заобикалянето на повечето други настройки за сигурност на компютъра.
- CVE-2022-41091: Флагът на Windows за функцията за уеб защита е заобиколил уязвимостта. Програмата MoTW на Microsoft (уеб маркер) е сладкото име на компанията, известна просто като Интернет зони: „Етикет с данни“, записан с изтеглен файл, който съхранява запис на оригиналния източник на този файл. След това Windows автоматично променя съответно настройките си за сигурност, когато използвате файла по-късно. Трябва да се отбележи, че файловете на Office, запазени от прикачени файлове към имейл или донесени извън компанията, автоматично ще се отварят в т.нар защитена сцена По подразбиране, което блокира макроси и друго потенциално опасно съдържание. Казано по-просто, този експлойт означава, че атакуващ може да подмами Windows да запази ненадеждни файлове, без да регистрира правилно техния източник, излагайки вас или вашите колеги на риск, когато отворите или споделите тези файлове по-късно.
Какво да правя?
- Ранна корекция / корекция често. Защото можеш.
- Ако имате вътрешни сървъри на Exchange, Не забравяйте да го кръпите също, защото 0-дневните корекции на Exchange, показани по-горе, няма да се показват като част от редовния процес на актуализиране във вторник.
- Прочетете статията на Sophos News за Повече информация Във вторник 58 други поправки, които не са изрично адресирани тук.
- Не отлагайте/направете го днес. Тъй като четири от новоразкритите корекции на грешки вече са били злоупотребени от активни нападатели.