Recuerda esos Intercambio de día cero que surgió en un estallido de publicidad en septiembre de 2022?
Esos defectos, y los ataques basados en ellos, fueron apodados ingeniosa pero engañosamente ProxyNotShell porque las vulnerabilidades involucradas eran una reminiscencia de la ProxyShell falla de seguridad en Exchange que llegó a las noticias en agosto de 2021.
Afortunadamente, a diferencia de ProxyShell, los nuevos errores no eran explotables directamente por nadie con una conexión a Internet y un sentido equivocado de la aventura de la ciberseguridad.
Esta vez, necesitaba una conexión autenticada, lo que generalmente significa que primero tenía que adquirir o adivinar correctamente la contraseña de correo electrónico de un usuario existente, y luego hacer un intento deliberado de iniciar sesión donde sabía que no debía estar, antes de poder realizar cualquier "investigación" para "ayudar" a los administradores de sistemas del servidor con su trabajo:
Haga clic y arrastre en las ondas sonoras de abajo para saltar a cualquier punto. Tú también puedes escuchar directamente en Soundcloud.
Aparte, sospechamos que muchos de los miles de autodenominados "investigadores de ciberseguridad" que estaban felices de probar los servidores de otras personas "por diversión" cuando los errores de Log4Shell y ProxyShell estaban de moda lo hicieron sabiendo que podrían recurrir a ellos. la presunción de inocencia si es atrapado y criticado. Pero sospechamos que lo pensaron dos veces antes de ser atrapados fingiendo ser usuarios que sabían que no eran, tratando de acceder a los servidores al amparo de cuentas que sabían que se suponía que estaban fuera de los límites, y luego recurrieron al "solo éramos tratando de ayudar "excusa.
Entonces, aunque nosotros esperado que Microsoft propondría una solución rápida y fuera de banda, no esperar uno…
… y, por lo tanto, asumimos, probablemente en común con la mayoría de los lectores de Naked Security, que los parches llegarían con calma y sin prisas como parte del martes de parches de octubre de 2022, aún faltan más de dos semanas.
Después de todo, apresurarse a solucionar los problemas de seguridad cibernética es un poco como correr con unas tijeras o usar el escalón superior de una escalera: hay formas de hacerlo de manera segura si realmente debe hacerlo, pero es mejor evitarlo por completo si puede.
Sin embargo, los parches no apareció en Patch TuesdaY tampoco, ciertamente para nuestra leve sorpresa, aunque estábamos casi seguros de que las correcciones aparecerían en el martes de parches de noviembre de 2022 a más tardar:
Resumen del martes de parches: ¡un día 0 fijo, pero no hay parches para Exchange!
Curiosamente, nos equivocamos de nuevo (estrictamente hablando, al menos): el ProxyNotShell los parches no lo lograron dentro El martes de parches de noviembre, pero se parchearon on Patch Tuesday, llegando en cambio en una serie de Actualizaciones de seguridad de intercambio (SU) liberados el mismo día:
Los SU de [Exchange] de noviembre de 2022 están disponibles para [Exchange 2013, 2016 y 2019].
Debido a que somos conscientes de las explotaciones activas de vulnerabilidades relacionadas (ataques dirigidos limitados), nuestra recomendación es instalar estas actualizaciones de inmediato para estar protegido contra estos ataques.
Los SU de noviembre de 2022 contienen correcciones para las vulnerabilidades de día cero informadas públicamente el 29 de septiembre de 2022 (CVE-2022-41040 y CVE-2022-41082).
Estas vulnerabilidades afectan a Exchange Server. Los clientes de Exchange Online ya están protegidos contra las vulnerabilidades abordadas en estos SU y no necesitan realizar ninguna acción más que actualizar los servidores de Exchange en su entorno.
Suponemos que estas correcciones no formaban parte del mecanismo regular del martes de parches porque no son lo que Microsoft denomina CU, abreviatura de actualizaciones acumulativas.
Esto significa que primero debe asegurarse de que su instalación actual de Exchange esté lo suficientemente actualizada para aceptar los nuevos parches, y el proceso preparatorio es ligeramente diferente según la versión de Exchange que tenga.
62 hoyos más, 4 nuevos días cero
Esos viejos errores de Exchange no fueron los únicos días cero parcheados el martes de parches.
Las actualizaciones regulares de Windows Patch Tuesday se ocupan de otros 62 agujeros de seguridad, cuatro de los cuales son errores que los atacantes desconocidos encontraron primero y que ya están explotando para propósitos no revelados, o zero-days para abreviar.
(Cero porque hubo cero días en los que podría haber aplicado los parches antes que los delincuentes, sin importar qué tan rápido implemente las actualizaciones).
Resumiremos esos cuatro errores de día cero rápidamente aquí; para una cobertura más detallada de las 62 vulnerabilidades, junto con estadísticas sobre la distribución de los errores en general, consulte el Informe de SophosLabs en nuestro sitio hermano Sophos News:
Microsoft corrige 62 vulnerabilidades, incluidas Kerberos, Mark of the Web y Exchange... más o menos
Días cero corregidos en las correcciones del martes de parches de este mes:
- CVE-2022-41128: Vulnerabilidad de ejecución remota de código de lenguajes de secuencias de comandos de Windows. El título lo dice todo: los scripts con trampas explosivas de un sitio remoto podrían escapar de la caja de arena que se supone que los vuelve inofensivos y ejecutar el código que elija el atacante. Por lo general, esto significa que incluso un usuario bien informado que simplemente miró una página web en un servidor con trampa explosiva podría terminar con malware implantado furtivamente en su computadora, sin hacer clic en ningún enlace de descarga, ver ninguna ventana emergente o hacer clic en cualquier advertencias de seguridad. Aparentemente, este error existe en el viejo Microsoft
Jscript9El motor JavaScript, que ya no se usa en Edge (que ahora usa el sistema JavaScript V8 de Google), pero aún lo usan otras aplicaciones de Microsoft, incluido el navegador heredado Internet Explorer. - CVE-2022-41073: Vulnerabilidad de elevación de privilegios de la cola de impresión de Windows. Las colas de impresión existen para capturar la salida de la impresora de muchos programas y usuarios diferentes, e incluso de computadoras remotas, y luego enviarla de manera ordenada al dispositivo deseado, incluso si no tenía papel cuando intentó imprimir o si ya estaba ocupado. imprimir un trabajo extenso para otra persona. Esto generalmente significa que los administradores de colas son programáticamente complejos y requieren privilegios a nivel de sistema para que puedan actuar como "negociadores" entre los usuarios sin privilegios y el hardware de la impresora. El Administrador de trabajos de impresión de Windows utiliza el todopoderoso localmente
SYSTEMcuenta, y como notas del boletín de Microsoft: “Un atacante que explotara con éxito esta vulnerabilidad podría obtener privilegios de SISTEMA”. - CVE-2022-41125: Vulnerabilidad de elevación de privilegios del servicio de aislamiento de claves de Windows CNG. Al igual que en el error de Print Spooler anterior, los atacantes que quieran explotar este agujero primero necesitan un punto de apoyo en su sistema. Pero incluso si inician sesión como un usuario normal o como un invitado para empezar, podrían terminar con poderes similares a los de los administradores de sistemas al escabullirse a través de este agujero de seguridad. Irónicamente, este error existe en un proceso especialmente protegido que se ejecuta como parte de lo que se llama Windows LSA (autoridad del sistema local) que se supone que dificulta que los atacantes extraigan las contraseñas almacenadas en caché y las claves criptográficas de la memoria del sistema. Suponemos que después de explotar este error, los atacantes podrían eludir la misma seguridad que se supone que proporciona el Servicio de aislamiento de claves, además de eludir la mayoría de las otras configuraciones de seguridad en la computadora.
- CVE-2022-41091: Marca de Windows de la vulnerabilidad de omisión de la función de seguridad web. MoTW de Microsoft (marca de la web) es el lindo nombre de la compañía para lo que solía conocerse simplemente como Zonas de Internet: una "etiqueta de datos" guardada junto con un archivo descargado que mantiene un registro de la procedencia original de ese archivo. Luego, Windows varía automáticamente su configuración de seguridad cada vez que utilice el archivo posteriormente. En particular, los archivos de Office guardados como archivos adjuntos de correo electrónico o obtenidos desde fuera de la empresa se abrirán automáticamente en los llamados Vista protegida por defecto, bloqueando macros y otros contenidos potencialmente peligrosos. En pocas palabras, este exploit significa que un atacante puede engañar a Windows para que guarde archivos que no son de confianza sin registrar correctamente de dónde provienen, lo que lo expone a usted o a sus colegas al peligro cuando abre o comparte esos archivos más tarde.
¿Qué hacer?
- Parche temprano/parche frecuente. Porque tú puedes.
- Si tiene algún servidor de Exchange local, no olvide parchearlos también, porque los parches de día cero de Exchange descritos anteriormente no aparecerán como parte del proceso regular de actualización de Patch Tuesday.
- Lea el artículo de noticias de Sophos para más información en las otras 58 correcciones del martes de parches no se tratan explícitamente aquí.
- No se demore/Hágalo hoy. Porque cuatro de las correcciones de errores son días cero recientemente descubiertos que ya están siendo abusados por atacantes activos.
