Kom ihåg dem Byt noll-dagar som dök upp i en brand av publicitet redan i september 2022?

Dessa brister, och attacker baserade på dem, dubbades kvickt men vilseledande ProxyNotShell eftersom de inblandade sårbarheterna påminde om ProxyShell säkerhetsbrist i Exchange som kom på nyheterna i augusti 2021.

Lyckligtvis, till skillnad från ProxyShell, var de nya buggarna inte direkt exploaterbara av någon med en internetanslutning och en missriktad känsla av cybersäkerhetsäventyr.

Den här gången behövde du en autentiserad anslutning, vilket vanligtvis innebär att du först måste skaffa eller korrekt gissa en befintlig användares e-postlösenord och sedan göra ett avsiktligt försök att logga in där du visste att du inte skulle vara, innan du kunde utföra någon "forskning" för att "hjälpa" serverns systemadministratörer med deras arbete:

För övrigt misstänker vi att många av de tusentals självutnämnda "cybersäkerhetsforskare" som gärna undersökte andras servrar "för skojs skull" när Log4Shell- och ProxyShell-buggarna var på topp, gjorde det med vetskapen om att de kunde falla tillbaka på oskuldspresumtionen om den grips och kritiseras. Men vi misstänker att de tänkte två gånger innan de fastnade för att de faktiskt låtsades vara användare som de visste att de inte var, försökte komma åt servrar under täckmantel av konton som de visste skulle vara förbjudna, och sedan falla tillbaka på "vi var bara försöker hjälpa” ursäkt.

Så fast vi hoppats att Microsoft skulle komma med en snabb, out-of-band fix, det gjorde vi inte förvänta ett ...

...och vi antog därför, förmodligen gemensamt med de flesta Naked Security-läsare, att patcharna skulle komma lugnt och utan brådska som en del av oktober 2022 Patch Tuesday, fortfarande mer än två veckor bort.

När allt kommer omkring, är det lite som att köra med sax eller använda det översta steget på en stege: det finns sätt att göra det säkert om du verkligen måste, men det är bättre att undvika att göra det helt om du kan.

Däremot lapparna dök inte upp på Patch Tuesday heller, visserligen till vår milda förvåning, även om vi kände oss så gott som säkra på att korrigeringarna skulle dyka upp senast i november 2022 Patch Tuesday:

Patch tisdag i korthet – en 0-dagars fixad, men inga patchar för Exchange!

Spännande nog hade vi fel igen (åtminstone strikt sett): den ProxyNotShell patchar gjorde det inte in Novembers Patch Tuesday, men de blev patchade on Patch Tuesday, anländer istället i en serie av Exchange säkerhetsuppdateringar (SU) släpptes samma dag:

November 2022 [Exchange] SU:erna är tillgängliga för [Exchange 2013, 2016 och 2019].

Eftersom vi är medvetna om aktiva utnyttjande av relaterade sårbarheter (begränsade riktade attacker), är vår rekommendation att installera dessa uppdateringar omedelbart för att skyddas mot dessa attacker.

SU:erna från november 2022 innehåller korrigeringar för nolldagarssårbarheterna som rapporterades offentligt den 29 september 2022 (CVE-2022-41040 och CVE-2022-41082).

Dessa sårbarheter påverkar Exchange Server. Exchange Online-kunder är redan skyddade från de sårbarheter som behandlas i dessa SU:er och behöver inte vidta några andra åtgärder än att uppdatera eventuella Exchange-servrar i deras miljö.

Vi gissar att dessa korrigeringar inte var en del av den vanliga Patch Tuesday-mekanismen eftersom de inte är vad Microsoft kallar CUs, förkortning av kumulativa uppdateringar.

Det betyder att du först måste se till att din nuvarande Exchange-installation är tillräckligt uppdaterad för att acceptera de nya patcharna, och förberedelseprocessen är något annorlunda beroende på vilken Exchange-version du har.

62 fler hål, 4 nya nolldagar

Dessa gamla Exchange-buggar var inte de enda nolldagarna som patchades på Patch Tuesday.

De vanliga Windows Patch Tuesday-uppdateringarna hanterar ytterligare 62 säkerhetshål, varav fyra är buggar som okända angripare hittade först, och som redan utnyttjar för hemliga ändamål, eller noll-dagar för korta.

(Noll eftersom det fanns noll dagar då du kunde ha applicerat korrigeringarna före skurkarna, oavsett hur snabbt du distribuerar uppdateringar.)

Vi kommer att sammanfatta dessa fyra nolldagars buggar snabbt här; för mer detaljerad täckning av alla 62 sårbarheter, tillsammans med statistik om distributionen av buggar i allmänhet, vänligen konsultera SophosLabs rapport på vår systersajt Sophos News:

Microsoft korrigerar 62 sårbarheter, inklusive Kerberos och Mark of the Web, och Exchange...

Noll dagar fixade i månadens Patch Tuesday-fixar:

• CVE-2022-41128: Sårbarhet i Windows-skriptspråk för fjärrexekvering av kod. Titeln säger allt: booby-fällda skript från en avlägsen webbplats kan fly från sandlådan som är tänkt att göra dem ofarliga, och köra kod som en angripare väljer. Vanligtvis innebär detta att till och med en välinformerad användare som bara tittade på en webbsida på en server som är instängd kan sluta med skadlig programvara smygt implanterad på sin dator, utan att behöva klicka på några nedladdningslänkar, se några popup-fönster eller klicka sig igenom någon säkerhetsvarningar. Tydligen finns denna bugg i Microsofts gamla Jscript9 JavaScript-motor, som inte längre används i Edge (som nu använder Googles V8 JavaScript-system), men fortfarande används av andra Microsoft-appar, inklusive den äldre webbläsaren Internet Explorer.
• CVE-2022-41073: Sårbarhet i Windows Print Spooler Elevation of Privilege. Utskriftsspooler finns för att fånga skrivarutdata från många olika program och användare, och till och med från fjärrdatorer, och sedan leverera det på ett ordnat sätt till önskad enhet, även om det var slut på papper när du försökte skriva ut eller redan var upptagen skriva ut ett långt jobb åt någon annan. Detta innebär vanligtvis att spooler är programmatiskt komplexa och kräver privilegier på systemnivå så att de kan fungera som "förhandlare" mellan oprivilegierade användare och skrivarhårdvaran. Windows Printer Spooler använder den lokalt allsmäktiga SYSTEM konto, och som Microsofts bulletinnoteringar: "En angripare som framgångsrikt utnyttjar den här sårbarheten kan få SYSTEM-privilegier."
• CVE-2022-41125: Windows CNG Key Isolation Service Ökning av privilegier sårbarhet. Som i Print Spooler-felet ovan behöver angripare som vill utnyttja det här hålet ett fotfäste på ditt system först. Men även om de är inloggade som en vanlig användare eller en gäst till att börja med, kan de sluta med sysadmin-liknande befogenheter genom att slingra sig igenom detta säkerhetshål. Ironiskt nog finns det här felet i en speciellt skyddad process som körs som en del av det som kallas Windows LSA (lokal systemmyndighet) som ska göra det svårt för angripare att extrahera cachade lösenord och kryptografiska nycklar ur systemminnet. Vi gissar att efter att ha utnyttjat denna bugg skulle angriparna kunna kringgå den säkerhet som själva nyckelisoleringstjänsten ska tillhandahålla, tillsammans med att kringgå de flesta andra säkerhetsinställningar på datorn.
• CVE-2022-41091: Windows-märket för webbsäkerhetsfunktionens förbikopplingssårbarhet. Microsofts MoTW (webbens märke) är företagets söta namn för det som brukade kallas helt enkelt Internetzoner: en "dataetikett" sparad tillsammans med en nedladdad fil som registrerar var filen ursprungligen kom ifrån. Windows ändrar sedan automatiskt sina säkerhetsinställningar i enlighet därmed när du senare använder filen. Noterbart kommer Office-filer som sparats från e-postbilagor eller hämtas utanför företaget automatiskt att öppnas i s.k. skyddad vy som standard, vilket blockerar makron och annat potentiellt farligt innehåll. Enkelt uttryckt innebär detta utnyttjande att en angripare kan lura Windows att spara opålitliga filer utan att korrekt registrera var de kom ifrån, och på så sätt utsätta dig eller dina kollegor för fara när du senare öppnar eller delar dessa filer.

Vad göra?

• Lappar tidigt/Läppar ofta. För att du kan.
• Om du har några lokala Exchange-servrar, Glöm inte att patcha dem också, eftersom Exchange 0-dagars patchar som beskrivs ovan inte kommer att dyka upp som en del av den vanliga Patch Tuesday uppdateringsprocessen.
• Läs Sophos News-artikeln för vidare information å den andra 58 Patch Tuesday-fixar som inte täcks uttryckligen här.
• Dröj inte/gör det idag. Eftersom fyra av buggfixarna är nyupptäckta nolldagar som redan missbrukas av aktiva angripare.