Para su actualización del martes de parches de octubre, Microsoft abordó una vulnerabilidad de seguridad crítica en su servicio en la nube de Azure, con una calificación poco común de 10 sobre 10 en la escala de gravedad de vulnerabilidad CVSS.
El gigante tecnológico también corrigió dos errores de día cero calificados como "importantes", uno de los cuales se está explotando activamente en la naturaleza; y además, puede haber un tercer problema, en SharePoint, que también se está explotando activamente.
Notablemente, sin embargo, Microsoft no emitió correcciones para los dos Errores de día cero de Exchange Server sin parches que salió a la luz a finales de septiembre.
En total, en octubre, Microsoft lanzó parches para 85 CVE, incluidos 15 errores críticos. Los productos afectados abarcan toda la gama de la cartera de productos como de costumbre: Microsoft Windows y componentes de Windows; Azure, Azure Arc y Azure DevOps; Microsoft Edge (basado en cromo); Oficina y Componentes de Oficina; código de estudio visual; Servicios de dominio de Active Directory y Servicios de certificados de Active Directory; Nu obtener cliente; Hiper-V; y el sistema de archivos resistente de Windows (ReFS).
Estos se suman a 11 parches para Microsoft Edge (basado en Chromium) y un parche para especulación de canal lateral en procesadores ARM lanzado a principios de mes.
Un 10 perfecto: vulnerabilidad ultracrítica rara
El error 10 de 10 (CVE-2022-37968) es un problema de elevación de privilegios (EoP) y ejecución remota de código (RCE) que podría permitir que un atacante no autenticado obtenga control administrativo sobre los clústeres de Kubernetes habilitados para Azure Arc; también podría afectar a los dispositivos Azure Stack Edge.
Si bien los atacantes cibernéticos necesitarían conocer el punto final de DNS generado aleatoriamente para que un clúster de Kubernetes habilitado para Azure Arc tenga éxito, la explotación tiene una gran recompensa: pueden elevar sus privilegios al administrador del clúster y potencialmente obtener el control sobre el clúster de Kubernetes.
“Si está utilizando este tipo de contenedores con una versión anterior a la 1.5.8, 1.6.19, 1.7.18 y 1.8.11 y están disponibles en Internet, actualice de inmediato”, Mike Walters, vicepresidente de vulnerabilidad y investigación de amenazas en Action1, advertido por correo electrónico.
Un par (tal vez una tríada) de parches de día cero, pero no ESAS parches
Se confirmó que el nuevo día cero está bajo explotación activa (CVE-2022-41033) es una vulnerabilidad EoP en el servicio de sistema de eventos COM+ de Windows. Tiene una puntuación CVSS de 7.8.
El servicio del sistema de eventos COM+ de Windows se inicia de forma predeterminada con el sistema operativo y es responsable de proporcionar notificaciones sobre los inicios y cierres de sesión. Todas las versiones de Windows a partir de Windows 7 y Windows Server 2008 son vulnerables, y un simple ataque puede llevar a obtener privilegios de SISTEMA, advirtieron los investigadores.
"Dado que se trata de un error de escalamiento de privilegios, es probable que se combine con otros exploits de ejecución de código diseñados para hacerse cargo de un sistema", señaló Dustin Childs, de Zero Day Initiative (ZDI), en un análisis hoy. “Este tipo de ataques a menudo involucran alguna forma de ingeniería social, como incitar a un usuario a abrir un archivo adjunto o navegar a un sitio web malicioso. A pesar de la capacitación antiphishing casi constante, especialmente durante 'Mes de la concientización sobre la seguridad cibernética,' la gente tiende a hacer clic en todo, así que pruebe e implemente esta corrección rápidamente”.
Satnam Narang, ingeniero senior de investigación del personal de Tenable, señaló en un resumen enviado por correo electrónico que un atacante autenticado podría ejecutar una aplicación especialmente diseñada para explotar el error y elevar los privilegios a SYSTEM.
“Si bien las vulnerabilidades de elevación de privilegios requieren que un atacante obtenga acceso a un sistema a través de otros medios, siguen siendo una herramienta valiosa en la caja de herramientas de un atacante, y el Patch Tuesday de este mes no tiene escasez de fallas de elevación de privilegios, ya que Microsoft parchó 39 , lo que representa casi la mitad de los errores corregidos (46.4%)”, dijo.
Este problema particular de EoP debería ir a la cabeza de la línea para parchear, según Walters de Action1.
“La instalación del parche recién lanzado es obligatoria; de lo contrario, un atacante que haya iniciado sesión en una computadora invitada o de un usuario común puede obtener rápidamente privilegios de SISTEMA en ese sistema y poder hacer casi cualquier cosa con él”, escribió, en un análisis enviado por correo electrónico. “Esta vulnerabilidad es especialmente importante para las organizaciones cuya infraestructura se basa en Windows Server”.
El otro error conocido públicamente confirmado (CVE-2022-41043) es un problema de divulgación de información en Microsoft Office para Mac que tiene una calificación de riesgo CVSS baja de solo 4 de 10.
Waters señaló otro día cero potencialmente explotado: un problema de ejecución remota de código (RCE) en SharePoint Server (CVE-2022-41036, CVSS 8.8) que afecta a todas las versiones a partir de SharePoint 2013 Service Pack 1.
“En un ataque basado en la red, un adversario autenticado con permisos de Administrar lista podría ejecutar código de forma remota en el servidor de SharePoint y escalar a permisos administrativos”, dijo.
Lo que es más importante, "Microsoft informa que es probable que ya se haya creado un exploit y que los grupos de piratas informáticos lo estén utilizando, pero aún no hay pruebas de esto", dijo. “Sin embargo, vale la pena tomarse en serio esta vulnerabilidad si tiene un servidor de SharePoint abierto a Internet”.
Sin parches ProxyNotShell
Cabe señalar que estos no son los dos parches de día cero que esperaban los investigadores; esos errores, CVE-2022-41040 y CVE-2022-41082, también conocido como ProxyNotShell, quedan sin resolver. Cuando se encadenan, pueden permitir RCE en servidores Exchange.
“Lo que puede ser más interesante es lo que no está incluido en el lanzamiento de este mes. No hay actualizaciones para Exchange Server, a pesar de que dos errores de Exchange se explotaron activamente durante al menos dos semanas”, escribió Childs. “ZDI compró estos errores a principios de septiembre y los informó a Microsoft en ese momento. Sin actualizaciones disponibles para abordar completamente estos errores, lo mejor que pueden hacer los administradores es asegurarse de que esté instalada la actualización acumulativa (CU) de septiembre”.
“A pesar de las grandes esperanzas de que el lanzamiento de Patch Tuesday de hoy contenga correcciones para las vulnerabilidades, Exchange Server no aparece en la lista inicial de actualizaciones de seguridad de octubre de 2022”, dice Caitlin Condon, gerente sénior de investigación de vulnerabilidades en Rapid7. "La regla recomendada por Microsoft para bloquear patrones de ataque conocidos se ha omitido varias veces, lo que enfatiza la necesidad de una solución real".
A principios de septiembre, Rapid7 Labs observó hasta 191,000 443 instancias potencialmente vulnerables de Exchange Server expuestas a Internet a través del puerto XNUMX, agrega. Sin embargo, a diferencia del ProxyShell
y Inicio de sesión proxy
Cadenas de explotación, este grupo de errores requiere que un atacante tenga acceso a la red autenticado para una explotación exitosa.
“Hasta ahora, los ataques se han mantenido limitados y dirigidos”, dice, y agrega: “Es poco probable que continúe a medida que pasa el tiempo y los actores de amenazas tienen más oportunidades de obtener acceso y perfeccionar las cadenas de explotación. Es casi seguro que veremos vulnerabilidades posteriores a la autenticación lanzadas en los próximos meses, pero la verdadera preocupación sería que surja un vector de ataque no autenticado a medida que los equipos de TI y seguridad implementen congelamientos de código de fin de año”.
Los administradores toman nota: otros errores para priorizar
En cuanto a otros problemas a priorizar, Childs de ZDI marcó dos errores de EoP del subsistema de tiempo de ejecución del servidor de cliente de Windows (CSRSS) rastreados como CVE-2022-37987
y CVE-2022-37989
(ambos 7.8 CVSS).
“CVS-2022-37989 es un parche fallido para CVE-2022-22047, un error anterior que vio alguna explotación en estado salvaje”, explicó. “Esta vulnerabilidad se debe a que CSRSS es demasiado indulgente al aceptar información de procesos que no son de confianza. Por el contrario, CVE-2022-37987 es un nuevo ataque que funciona engañando a CSRSS para que cargue información de dependencia desde una ubicación no segura”.
También notable: nueve CVE categorizados como errores RCE con gravedad crítica también se corrigieron hoy, y siete de ellos afectan el Protocolo de túnel punto a punto, según Greg Wiseman, gerente de producto de Rapid7. “[Estos] requieren que un atacante gane una condición de carrera para explotarlos”, señaló por correo electrónico.
El investigador de Automox Jay Goodman agrega que CVE-2022-38048 (CVSS 7.8) afecta a todas las versiones compatibles de Office y podría permitir que un atacante tome el control de un sistema "donde sería libre de instalar programas, ver o cambiar datos, o crear nuevas cuentas en el sistema de destino con todos los derechos de usuario .” Si bien es menos probable que se explote la vulnerabilidad, según Microsoft, la complejidad del ataque figura como baja.
Y finalmente, Gina Geisel, también investigadora de Automox, advierte que CVE-2022-38028
(CVSS 7.8), un error EoP de Windows Print Spooler, como una vulnerabilidad de privilegios bajos y complejidad baja que no requiere la interacción del usuario.
“Un atacante tendría que iniciar sesión en un sistema afectado y ejecutar una secuencia de comandos o una aplicación especialmente diseñada para obtener privilegios del sistema”, señala. “Los ejemplos de estos privilegios de atacante incluyen la instalación de programas; modificar, cambiar y eliminar datos; crear nuevas cuentas con plenos derechos de usuario; y moviéndose lateralmente alrededor de las redes”.
