Onthoud die Zero-days omwisselen die in september 2022 in een uitbarsting van publiciteit naar voren kwam?

Die fouten, en daarop gebaseerde aanvallen, werden geestig maar misleidend genoemd ProxyNiet Shell omdat de betrokken kwetsbaarheden deden denken aan de ProxyShell beveiligingsfout in Exchange die in augustus 2021 in het nieuws kwam.

Gelukkig konden de nieuwe bugs, in tegenstelling tot ProxyShell, niet direct worden misbruikt door iemand met een internetverbinding en een misplaatst gevoel voor cyberbeveiligingsavontuur.

Deze keer had u een geverifieerde verbinding nodig, wat meestal betekent dat u eerst het e-mailwachtwoord van een bestaande gebruiker moest verkrijgen of correct moest raden, en vervolgens een opzettelijke poging moest doen om in te loggen waar u wist dat u niet mocht zijn, voordat u kon uitvoeren elk "onderzoek" om de systeembeheerders van de server te "helpen" met hun werk:

Even terzijde, we vermoeden dat veel van de duizenden zelfbenoemde "cybersecurity-onderzoekers" die graag de servers van andere mensen "voor de lol" wilden onderzoeken toen de Log4Shell- en ProxyShell-bugs een rage waren, wetende dat ze erop terug konden vallen het vermoeden van onschuld indien betrapt en bekritiseerd. Maar we vermoeden dat ze twee keer hebben nagedacht voordat ze betrapt werden terwijl ze zich voordeden als gebruikers waarvan ze wisten dat ze dat niet waren, probeerden toegang te krijgen tot servers onder dekking van accounts waarvan ze wisten dat ze verboden terrein waren, en dan terugvielen op de "we waren alleen proberen te helpen" excuus.

Dus, hoewel we gehoopt dat Microsoft met een snelle, out-of-band oplossing zou komen, dat deden we niet verwachten een ...

... en daarom gingen we ervan uit, waarschijnlijk net als de meeste lezers van Naked Security, dat de patches kalm en ongehaast zouden aankomen als onderdeel van de Patch Tuesday van oktober 2022, nog meer dan twee weken verwijderd.

Het haasten van oplossingen voor cyberbeveiliging lijkt een beetje op rennen met een schaar of het gebruiken van de bovenste trede van een ladder: er zijn manieren om het veilig te doen als het echt moet, maar het is beter om dit helemaal te vermijden als je kunt.

Echter, de patches verscheen niet op patch dinsdagy ook niet, weliswaar tot onze lichte verbazing, hoewel we er zo goed als zeker van waren dat de fixes uiterlijk in november 2022 Patch Tuesday zouden verschijnen:

Patch Tuesday in het kort - een 0-dag gerepareerd, maar geen patches voor Exchange!

Intrigerend genoeg hadden we het weer mis (strikt genomen tenminste): de ProxyNiet Shell patches hebben het niet gehaald in Patch Tuesday van november, maar ze zijn wel gepatcht on Patch dinsdag, arriveert in plaats daarvan in een reeks van Beveiligingsupdates uitwisselen (SU's) uitgebracht op dezelfde dag:

De [Exchange] SU's van november 2022 zijn beschikbaar voor [Exchange 2013, 2016 en 2019].

Omdat we op de hoogte zijn van actieve exploits van gerelateerde kwetsbaarheden (beperkte gerichte aanvallen), raden we aan deze updates onmiddellijk te installeren om beschermd te zijn tegen deze aanvallen.

De SU's van november 2022 bevatten oplossingen voor de zero-day-kwetsbaarheden die op 29 september 2022 openbaar zijn gemeld (CVE-2022-41040 en CVE-2022-41082).

Deze kwetsbaarheden zijn van invloed op Exchange Server. Klanten van Exchange Online zijn al beschermd tegen de kwetsbaarheden die in deze SU's worden aangepakt en hoeven geen andere actie te ondernemen dan Exchange-servers in hun omgeving bij te werken.

We vermoeden dat deze fixes geen deel uitmaakten van het reguliere Patch Tuesday-mechanisme, omdat ze niet zijn wat Microsoft CU's noemt, een afkorting van cumulatieve updates.

Dit betekent dat je er eerst voor moet zorgen dat je huidige Exchange-installatie up-to-date genoeg is om de nieuwe patches te accepteren, en het voorbereidingsproces is iets anders, afhankelijk van welke Exchange-versie je hebt.

Nog 62 holes, 4 nieuwe zero-days

Die oude Exchange-bugs waren niet de enige zero-days die op Patch Tuesday werden gepatcht.

De reguliere Windows Patch Tuesday-updates hebben betrekking op nog eens 62 beveiligingslekken, waarvan vier bugs die onbekende aanvallers als eerste hebben gevonden en die al worden misbruikt voor niet-openbaar gemaakte doeleinden, of nul-dagen in het kort.

(Nul omdat er nul dagen waren waarop je de patches voor de boeven had kunnen toepassen, ongeacht hoe snel je updates implementeert.)

We zullen die vier zero-day bugs hier snel samenvatten; voor meer gedetailleerde dekking van alle 62 kwetsbaarheden, samen met statistieken over de verspreiding van de bugs in het algemeen, raadpleeg de SophosLabs-rapport op onze zustersite Sophos News:

Microsoft patcht 62 kwetsbaarheden, waaronder Kerberos en Mark of the Web en Exchange... een soort van

Nuldagen opgelost in de Patch Tuesday-fixes van deze maand:

• CVE-2022-41128: Windows-scripttalen Kwetsbaarheid voor uitvoering van externe code. De titel zegt het al: scripts met boobytraps van een externe site kunnen ontsnappen uit de sandbox die ze onschadelijk zou moeten maken en code kunnen uitvoeren naar keuze van een aanvaller. Meestal betekent dit dat zelfs een goed geïnformeerde gebruiker die alleen maar naar een webpagina op een boobytrap-server kijkt, kan eindigen met malware die stiekem op zijn computer is geïmplanteerd, zonder op downloadlinks te klikken, pop-ups te zien of door te klikken veiligheidswaarschuwingen. Blijkbaar bestaat deze bug in de oude versie van Microsoft Jscript9 JavaScript-engine, niet langer gebruikt in Edge (die nu het V8 JavaScript-systeem van Google gebruikt), maar nog steeds gebruikt door andere Microsoft-apps, waaronder de oudere Internet Explorer-browser.
• CVE-2022-41073: Windows Print Spooler misbruik van bevoegdheden kwetsbaarheid. Er bestaan ​​afdrukspoolers om printeruitvoer van veel verschillende programma's en gebruikers en zelfs van externe computers vast te leggen en deze vervolgens op een ordelijke manier op het gewenste apparaat af te leveren, zelfs als het papier op was toen u probeerde af te drukken of al bezig was een langdurige klus voor iemand anders printen. Dit betekent meestal dat spoolers programmatisch complex zijn en privileges op systeemniveau vereisen, zodat ze kunnen fungeren als "onderhandelaars" tussen niet-bevoorrechte gebruikers en de printerhardware. De Windows Printer Spooler gebruikt de lokaal almachtige SYSTEM account, en zoals in de bulletinnotities van Microsoft: "Een aanvaller die dit beveiligingslek weet te misbruiken, kan SYSTEEM-rechten krijgen."
• CVE-2022-41125: Windows CNG Key Isolation Service misbruik van bevoegdheden beveiligingslek. Net als in de Print Spooler-bug hierboven, hebben aanvallers die dit gat willen misbruiken eerst voet aan de grond op uw systeem. Maar zelfs als ze zijn ingelogd als een gewone gebruiker of als gast om mee te beginnen, kunnen ze eindigen met sysadmin-achtige bevoegdheden door zich door dit beveiligingsgat te wurmen. Ironisch genoeg bestaat deze bug in een speciaal beveiligd proces dat wordt uitgevoerd als onderdeel van wat de Windows LSA wordt genoemd (lokale systeemautoriteit) die het voor aanvallers moeilijk zou maken om in de cache opgeslagen wachtwoorden en cryptografische sleutels uit het systeemgeheugen te halen. We vermoeden dat de aanvallers na het misbruiken van deze bug in staat zouden zijn om de beveiliging te omzeilen die de Key Isolation Service zelf zou moeten bieden, samen met het omzeilen van de meeste andere beveiligingsinstellingen op de computer.
• CVE-2022-41091: Windows Mark of the Web Beveiligingsfunctie omzeilt beveiligingslek. Microsoft's MoTW (teken van het web) is de schattige naam van het bedrijf voor wat vroeger gewoon bekend stond als Internetzones: een "gegevenslabel" opgeslagen samen met een gedownload bestand dat bijhoudt waar dat bestand oorspronkelijk vandaan kwam. Windows past dan automatisch de beveiligingsinstellingen dienovereenkomstig aan wanneer u het bestand vervolgens gebruikt. Met name Office-bestanden die zijn opgeslagen vanuit e-mailbijlagen of die van buiten het bedrijf zijn opgehaald, worden automatisch geopend in zogenaamde Protected View standaard, waardoor macro's en andere potentieel gevaarlijke inhoud worden geblokkeerd. Simpel gezegd, deze exploit betekent dat een aanvaller Windows kan misleiden om niet-vertrouwde bestanden op te slaan zonder correct vast te leggen waar ze vandaan komen, waardoor u of uw collega's aan gevaar worden blootgesteld wanneer u deze bestanden later opent of deelt.

Wat te doen?

• Patch vroeg/patch vaak. Omdat je kan.
• Als u on-premises Exchange-servers hebt, vergeet niet om ze ook te patchen, want de hierboven beschreven Exchange 0-day-patches zullen niet verschijnen als onderdeel van het normale updateproces van Patch Tuesday.
• Lees het Sophos News-artikel For verdere informatie op de andere 58 Patch Tuesday-fixes die hier niet expliciet worden behandeld.
• Stel het niet uit / doe het vandaag nog. Omdat vier van de bugfixes nieuw zijn ontdekt, worden zero-days al misbruikt door actieve aanvallers.