Pour sa mise à jour Patch Tuesday d'octobre, Microsoft a corrigé une vulnérabilité de sécurité critique dans son service cloud Azure, portant une note rare de 10 sur 10 sur l'échelle de gravité des vulnérabilités CVSS.

Le géant de la technologie a également corrigé deux bugs zero-day classés "importants", dont l'un est activement exploité dans la nature ; et en outre, il peut y avoir un troisième problème, dans SharePoint, qui est également activement exploité.

Notamment, cependant, Microsoft n'a pas publié de correctifs pour les deux bogues du jour zéro d'Exchange Server non corrigés qui a été révélé fin septembre.

Au total pour octobre, Microsoft a publié des correctifs pour 85 CVE, dont 15 bogues critiques. Les produits concernés exécutent la gamme du portefeuille de produits comme d'habitude : Microsoft Windows et les composants Windows ; Azure, Azure Arc et Azure DevOps ; Microsoft Edge (basé sur Chromium); Office et Composants Office ; Code Visual Studio ; Services de domaine Active Directory et services de certificats Active Directory ; Nu obtenir le client ; Hyper-V ; et le système de fichiers résilient Windows (ReFS).

Ceux-ci s'ajoutent à 11 correctifs pour Microsoft Edge (basés sur Chromium) et à un correctif pour la spéculation sur les canaux latéraux dans les processeurs ARM publiés plus tôt dans le mois.

A Perfect 10 : Rare Ultra-Critical Vuln

Le bogue 10 sur 10 (CVE-2022-37968) est un problème d'élévation de privilèges (EoP) et d'exécution de code à distance (RCE) qui pourrait permettre à un attaquant non authentifié d'obtenir le contrôle administratif sur les clusters Kubernetes activés par Azure Arc ; cela pourrait également affecter les appareils Azure Stack Edge.

Alors que les cyberattaquants auraient besoin de connaître le point de terminaison DNS généré de manière aléatoire pour qu'un cluster Kubernetes compatible avec Azure Arc réussisse, l'exploitation a un gros avantage : ils peuvent élever leurs privilèges à l'administrateur du cluster et potentiellement prendre le contrôle du cluster Kubernetes.

"Si vous utilisez ces types de conteneurs avec une version inférieure à 1.5.8, 1.6.19, 1.7.18 et 1.8.11 et qu'ils sont disponibles sur Internet, mettez à niveau immédiatement", Mike Walters, vice-président de la vulnérabilité et recherche sur les menaces à Action1, averti par e-mail.

Une paire (peut-être une triade) de correctifs Zero-Day - mais pas CES correctifs

Le nouveau zero-day confirmé comme étant sous exploitation active (CVE-2022-41033) est une vulnérabilité EoP dans le service Windows COM+ Event System. Il porte un score CVSS de 7.8.

Le service de système d'événements Windows COM+ est lancé par défaut avec le système d'exploitation et est chargé de fournir des notifications sur les connexions et les déconnexions. Toutes les versions de Windows à partir de Windows 7 et Windows Server 2008 sont vulnérables, et une simple attaque peut conduire à l'obtention des privilèges SYSTEM, ont averti les chercheurs.

"Puisqu'il s'agit d'un bogue d'escalade de privilèges, il est probablement associé à d'autres exploits d'exécution de code conçus pour prendre le contrôle d'un système", a noté Dustin Childs, de Zero Day Initiative (ZDI), dans un communiqué. analyse aujourd'hui. « Ces types d'attaques impliquent souvent une certaine forme d'ingénierie sociale, comme inciter un utilisateur à ouvrir une pièce jointe ou à naviguer sur un site Web malveillant. Malgré une formation anti-hameçonnage quasi constante, en particulier pendant 'Mois de sensibilisation à la cybersécurité", les gens ont tendance à cliquer sur tout, alors testez et déployez ce correctif rapidement."

Satnam Narang, ingénieur de recherche senior chez Tenable, a noté dans un récapitulatif envoyé par e-mail qu'un attaquant authentifié pourrait exécuter une application spécialement conçue afin d'exploiter le bogue et d'élever les privilèges à SYSTEM.

"Bien que les vulnérabilités d'élévation des privilèges obligent un attaquant à accéder à un système par d'autres moyens, elles restent un outil précieux dans la boîte à outils d'un attaquant, et le Patch Tuesday de ce mois-ci ne manque pas de failles d'élévation des privilèges, car Microsoft a corrigé 39 , représentant près de la moitié des bogues corrigés (46.4 %) », a-t-il déclaré.

Selon Walters d'Action1, ce problème particulier d'EoP devrait aller au chef de file pour être corrigé.

«L'installation du correctif nouvellement publié est obligatoire; sinon, un attaquant qui est connecté à un ordinateur invité ou à un utilisateur ordinaire peut rapidement obtenir les privilèges SYSTEM sur ce système et être capable de faire presque n'importe quoi avec », a-t-il écrit dans une analyse envoyée par e-mail. "Cette vulnérabilité est particulièrement importante pour les organisations dont l'infrastructure repose sur Windows Server."

L'autre bogue publiquement connu confirmé (CVE-2022-41043) est un problème de divulgation d'informations dans Microsoft Office pour Mac qui présente un faible niveau de risque CVSS de seulement 4 sur 10.

Waters a souligné un autre zero-day potentiellement exploité : un problème d'exécution de code à distance (RCE) dans SharePoint Server (CVE-2022-41036, CVSS 8.8) qui affecte toutes les versions à partir de SharePoint 2013 Service Pack 1.

"Dans une attaque basée sur le réseau, un adversaire authentifié avec des autorisations de gestion de liste pourrait exécuter du code à distance sur le serveur SharePoint et passer aux autorisations administratives", a-t-il déclaré.

Plus important encore, "Microsoft rapporte qu'un exploit a probablement déjà été créé et est utilisé par des groupes de pirates, mais il n'y a pas encore de preuve de cela", a-t-il déclaré. "Néanmoins, cette vulnérabilité mérite d'être prise au sérieux si vous avez un serveur SharePoint ouvert sur Internet."

Aucun correctif ProxyNotShell

Il convient de noter que ce ne sont pas les deux correctifs zero-day auxquels les chercheurs s'attendaient ; ces bogues, CVE-2022-41040 et CVE-2022-41082, également connu sous le nom de ProxyNotShell, restent sans réponse. Lorsqu'ils sont enchaînés, ils peuvent autoriser RCE sur les serveurs Exchange.

«Ce qui peut être plus intéressant, c'est ce qui n'est pas inclus dans la version de ce mois-ci. Il n'y a pas de mises à jour pour Exchange Server, malgré deux bogues Exchange activement exploités pendant au moins deux semaines », a écrit Childs. "Ces bogues ont été achetés par le ZDI début septembre et signalés à Microsoft à l'époque. En l'absence de mises à jour disponibles pour résoudre complètement ces bogues, le mieux que les administrateurs puissent faire est de s'assurer que la mise à jour cumulative de septembre (CU) est installée.

"Malgré les grands espoirs que la version Patch Tuesday d'aujourd'hui contiendrait des correctifs pour les vulnérabilités, Exchange Server est manifestement absent de la liste initiale des mises à jour de sécurité d'octobre 2022", déclare Caitlin Condon, responsable principale de la recherche sur les vulnérabilités chez Rapid7. "La règle recommandée par Microsoft pour bloquer les schémas d'attaque connus a été contournée à plusieurs reprises, soulignant la nécessité d'un véritable correctif."

Début septembre, Rapid7 Labs a observé jusqu'à 191,000 443 instances potentiellement vulnérables d'Exchange Server exposées à Internet via le port XNUMX, ajoute-t-elle. Cependant, contrairement au ProxyShell
ainsi que Connexion proxy
chaînes d'exploitation, ce groupe de bogues nécessite qu'un attaquant dispose d'un accès réseau authentifié pour une exploitation réussie.

« Jusqu'à présent, les attaques sont restées limitées et ciblées », dit-elle, ajoutant : « Il est peu probable que cela continue avec le temps et les acteurs de la menace ont plus d'opportunités d'accéder et d'affiner les chaînes d'exploitation. Nous verrons presque certainement des vulnérabilités post-authentification supplémentaires publiées dans les mois à venir, mais la véritable préoccupation serait l'apparition d'un vecteur d'attaque non authentifié alors que les équipes informatiques et de sécurité mettent en œuvre des gels de code de fin d'année.

Les administrateurs prennent note : autres bogues à prioriser

En ce qui concerne les autres problèmes à prioriser, ZDI's Childs a signalé deux bogues EoP du sous-système d'exécution Windows Client Server (CSRSS) suivis comme CVE-2022-37987
ainsi que CVE-2022-37989
(les deux 7.8 CVSS).

"CVS-2022-37989 est un correctif raté pour CVE-2022-22047, un bogue antérieur qui a vu une exploitation à l'état sauvage", a-t-il expliqué. «Cette vulnérabilité résulte du fait que CSRSS est trop indulgent pour accepter les entrées de processus non fiables. En revanche, CVE-2022-37987 est une nouvelle attaque qui fonctionne en trompant CSRSS en chargeant des informations de dépendance à partir d'un emplacement non sécurisé.

A noter également : neuf CVE classés comme bogues RCE avec une gravité critique ont également été corrigés aujourd'hui, et sept d'entre eux affectent le protocole de tunneling point à point, selon Greg Wiseman, chef de produit chez Rapid7. "[Ceux-ci] obligent un attaquant à gagner une condition de course pour les exploiter", a-t-il noté par e-mail.

Le chercheur Automox Jay Goodman ajoute que CVE-2022-38048 (CVSS 7.8) affecte toutes les versions prises en charge d'Office, et ils pourraient permettre à un attaquant de prendre le contrôle d'un système "où il serait libre d'installer des programmes, d'afficher ou de modifier des données, ou de créer de nouveaux comptes sur le système cible avec tous les droits d'utilisateur .” Bien que la vulnérabilité soit moins susceptible d'être exploitée, selon Microsoft, la complexité de l'attaque est répertoriée comme faible.

Et enfin, Gina Geisel, également chercheuse chez Automox, prévient que CVE-2022-38028
(CVSS 7.8), un bogue EoP du spouleur d'impression Windows, en tant que vulnérabilité à faible privilège et à faible complexité qui ne nécessite aucune interaction de l'utilisateur.

"Un attaquant devrait se connecter à un système affecté et exécuter un script ou une application spécialement conçu pour obtenir des privilèges système", note-t-elle. « Des exemples de ces privilèges d'attaquant incluent l'installation de programmes ; modifier, changer et supprimer des données ; créer de nouveaux comptes avec tous les droits d'utilisateur ; et se déplacer latéralement autour des réseaux.