Pamiętaj o tych Wymiana zero-dni które pojawiły się w blasku rozgłosu we wrześniu 2022 roku?

Te wady i oparte na nich ataki zostały dowcipnie, ale błędnie nazwane ProxyNotShell ponieważ zaangażowane luki przypominały Powłoka proxy luka w zabezpieczeniach Exchange, która pojawiła się w wiadomościach w sierpniu 2021 r.

Na szczęście, w przeciwieństwie do ProxyShell, nowe błędy nie były bezpośrednio wykorzystywane przez nikogo, kto ma połączenie z Internetem i ma błędne poczucie przygody z cyberbezpieczeństwem.

Tym razem potrzebne było uwierzytelnione połączenie, co zwykle oznacza, że ​​najpierw musiałeś uzyskać lub poprawnie odgadnąć hasło e-mail istniejącego użytkownika, a następnie wykonać celową próbę zalogowania się tam, gdzie wiedziałeś, że nie powinieneś być, zanim będziesz mógł wykonać wszelkie „badania” mające na celu „pomoc” administratorom serwera w ich pracy:

Nawiasem mówiąc, podejrzewamy, że wielu z tysięcy samozwańczych „badaczy cyberbezpieczeństwa”, którzy byli szczęśliwi mogąc sondować serwery innych osób „dla zabawy”, gdy wściekłe błędy Log4Shell i ProxyShell, zrobiło to, wiedząc, że mogą się do nich odwołać domniemanie niewinności w przypadku złapania i krytyki. Podejrzewamy jednak, że zastanowili się dwa razy, zanim zostali przyłapani, udając użytkowników, o których wiedzieli, że nie są, próbując uzyskać dostęp do serwerów pod przykrywką kont, o których wiedzieli, że powinny być niedostępne, a potem wracają do „byliśmy tylko staram się pomóc”.

Tak więc, chociaż my mieć nadzieję że Microsoft wymyśli szybką, pozapasmową poprawkę, nie zrobiliśmy tego oczekiwać jeden ...

…i dlatego założyliśmy, prawdopodobnie podobnie jak większość czytelników Naked Security, że łatki nadejdą spokojnie i bez pośpiechu w ramach wtorkowej łaty z października 2022 r., która została jeszcze za ponad dwa tygodnie.

W końcu pospieszne wprowadzanie poprawek cyberbezpieczeństwa jest trochę jak bieganie z nożyczkami lub używanie najwyższego stopnia drabiny: istnieją sposoby na bezpieczne zrobienie tego, jeśli naprawdę musisz, ale lepiej unikać tego całkowicie, jeśli możesz.

Jednak łatki nie pojawił się w patchu Tuesdaku naszemu lekkiemu zaskoczeniu, choć czuliśmy się tak dobrze, jak pewni, że poprawki pojawią się najpóźniej we wtorek z listopada 2022 r.:

Patch wtorek w skrócie – jeden 0-dniowy naprawiony, ale bez poprawek na Giełdę!

Co ciekawe, znowu się pomyliliśmy (przynajmniej ściśle mówiąc): ProxyNotShell łatki nie dały rady najnowszych Listopadowa łata we wtorek, ale zostały załatane on Patch wtorek, zamiast tego pojawi się w serii Aktualizacje zabezpieczeń Exchange (SU) wydany tego samego dnia:

SU [Exchange] z listopada 2022 r. są dostępne dla [Exchange 2013, 2016 i 2019].

Ponieważ jesteśmy świadomi aktywnych eksploitów powiązanych luk w zabezpieczeniach (ograniczonych ataków ukierunkowanych), zalecamy natychmiastowe zainstalowanie tych aktualizacji w celu ochrony przed tymi atakami.

SU z listopada 2022 r. zawierają poprawki dla luk zero-day zgłoszonych publicznie 29 września 2022 r. (CVE-2022-41040 i CVE-2022-41082).

Te luki dotyczą programu Exchange Server. Klienci Exchange Online są już chronieni przed lukami w tych SU i nie muszą podejmować żadnych działań poza aktualizacją serwerów Exchange w ich środowisku.

Zgadujemy, że te poprawki nie były częścią zwykłego mechanizmu wtorkowej łatki, ponieważ nie są one tym, co Microsoft określa jako CU, skrót od aktualizacje zbiorcze.

Oznacza to, że najpierw musisz upewnić się, że bieżąca instalacja Exchange jest wystarczająco aktualna, aby zaakceptować nowe poprawki, a proces przygotowawczy różni się nieco w zależności od posiadanej wersji Exchange.

62 więcej dołków, 4 nowe dni zerowe

Te stare błędy Exchange nie były jedynymi dniami zero, które zostały załatane we wtorek.

Regularne wtorkowe aktualizacje Windows Patch radzą sobie z kolejnymi 62 lukami w zabezpieczeniach, z których cztery to błędy, które nieznani napastnicy znaleźli jako pierwsi i które już wykorzystują do nieujawnionych celów, lub zero dni w skrócie.

(Zero ponieważ nie było dni, w których można było zastosować poprawki przed oszustami, bez względu na to, jak szybko wdrażasz aktualizacje).

Podsumujemy tutaj te cztery błędy dnia zerowego; Aby uzyskać bardziej szczegółowe informacje na temat wszystkich 62 luk w zabezpieczeniach, wraz ze statystykami dotyczącymi ogólnego rozmieszczenia błędów, zapoznaj się z Raport SophosLabs na naszej siostrzanej stronie Sophos News:

Microsoft łata 62 luki, w tym Kerberos, Mark of the Web i Exchange… tak jakby

Poprawki dotyczące zerowych dni we wtorkowej łatce w tym miesiącu:

• CVE-2022-41128: Luka umożliwiająca zdalne wykonanie kodu w językach skryptów systemu Windows. Tytuł mówi wszystko: skrypty z pułapkami ze zdalnej strony mogą uciec z piaskownicy, która ma je unieszkodliwić, i uruchomić kod wybrany przez atakującego. Zazwyczaj oznacza to, że nawet dobrze poinformowany użytkownik, który tylko spojrzał na stronę internetową na serwerze z pułapką, może skończyć ze złośliwym oprogramowaniem wszczepionym podstępnie na swój komputer, bez klikania jakichkolwiek linków do pobierania, oglądania wyskakujących okienek lub klikania jakichkolwiek ostrzeżenia dotyczące bezpieczeństwa. Najwyraźniej ten błąd istnieje w starym Microsoftu Jscript9 Silnik JavaScript, który nie jest już używany w Edge (który teraz korzysta z systemu JavaScript V8 firmy Google), ale nadal jest używany przez inne aplikacje Microsoft, w tym starszą przeglądarkę Internet Explorer.
• CVE-2022-41073: Luka dotycząca podniesienia uprawnień bufora wydruku systemu Windows. Bufory wydruku istnieją, aby przechwytywać wydruki z wielu różnych programów i użytkowników, a nawet ze zdalnych komputerów, a następnie dostarczać je w uporządkowany sposób do żądanego urządzenia, nawet jeśli zabrakło papieru podczas próby drukowania lub było już zajęte drukowanie długiej pracy dla kogoś innego. Zwykle oznacza to, że bufory są programowo złożone i wymagają uprawnień na poziomie systemu, aby mogły działać jako „negocjatorzy” między nieuprzywilejowanymi użytkownikami a sprzętem drukarki. Bufor drukarki systemu Windows wykorzystuje lokalnie wszechmocny SYSTEM konto i jak zauważa biuletyn firmy Microsoft: „Atakujący, który z powodzeniem wykorzysta tę lukę, może uzyskać uprawnienia SYSTEMOWE”.
• CVE-2022-41125: Luka dotycząca podniesienia uprawnień w usłudze izolacji klucza systemu Windows CNG. Podobnie jak w przypadku błędu bufora wydruku powyżej, osoby atakujące, które chcą wykorzystać tę dziurę, najpierw potrzebują przyczółka w systemie. Ale nawet jeśli na początek są zalogowani jako zwykły użytkownik lub gość, mogą skończyć z uprawnieniami podobnymi do sysadmin, przedzierając się przez tę lukę w zabezpieczeniach. Jak na ironię, ten błąd występuje w specjalnie chronionym procesie uruchamianym w ramach tak zwanego Windows LSA (lokalne władze systemowe), co ma utrudnić atakującym wyodrębnienie z pamięci systemowej haseł i kluczy kryptograficznych z pamięci podręcznej. Zgadujemy, że po wykorzystaniu tego błędu osoby atakujące byłyby w stanie ominąć zabezpieczenia, które ma zapewnić sama usługa Key Isolation Service, a także ominąć większość innych ustawień zabezpieczeń na komputerze.
• CVE-2022-41091: Znacznik Windows dotyczący luki w zabezpieczeniach sieci Web umożliwiającej obejście funkcji zabezpieczeń. MoTW firmy Microsoft (znak sieci) to urocza nazwa firmy dla tego, co było znane po prostu jako Strefy internetowe: „etykieta danych” zapisana wraz z pobranym plikiem, która przechowuje informacje o tym, skąd pierwotnie pochodził ten plik. Następnie system Windows automatycznie zmienia swoje ustawienia zabezpieczeń za każdym razem, gdy później użyjesz pliku. Warto zauważyć, że pliki Office zapisane z załączników do wiadomości e-mail lub pobrane spoza firmy automatycznie otworzą się w tzw Widok chroniony domyślnie, blokując w ten sposób makra i inne potencjalnie niebezpieczne treści. Mówiąc najprościej, ten exploit oznacza, że ​​osoba atakująca może nakłonić system Windows do zapisywania niezaufanych plików bez prawidłowego rejestrowania ich pochodzenia, narażając w ten sposób Ciebie lub Twoich współpracowników na niebezpieczeństwo podczas późniejszego otwierania lub udostępniania tych plików.

Co robić?

• Wczesne łatanie/Często łatać. Ponieważ możesz.
• Jeśli masz jakieś lokalne serwery Exchange, nie zapomnij też ich załatać, ponieważ opisane powyżej 0-dniowe łatki Exchange nie pojawią się jako część zwykłego procesu aktualizacji wtorkowej aktualizacji.
• Przeczytaj artykuł z Sophos News dla dalsza informacja w pozostałych 58 Patch Tuesday fixes, których nie omówiono wyraźnie tutaj.
• Nie zwlekaj / Zrób to dzisiaj. Ponieważ cztery z poprawek błędów to nowo odkryte dni zerowe, które są już nadużywane przez aktywnych atakujących.