Microsoft închide gaura Windows LSA sub atac activ • The Register

Microsoft a remediat 74 de defecte de securitate în lotul său de actualizări May Patch Tuesday. Aceasta reprezintă șapte erori critice, 66 considerate importante și una cu severitate scăzută.

Potrivit lui Redmond, cel puțin una dintre vulnerabilitățile dezvăluite este atacată activ cu cod public de exploatare, în timp ce alte două sunt enumerate ca având cod public de exploatare.

După cele 100 de vulnerabilități uimitoare din aprilie, evenimentul de corecție al lui May pare îmblânzit prin comparație. Cu toate acestea, „luna aceasta compensează gravitatea și durerile de cap ale infrastructurii”, a spus Chris Hass, ofițer șef de securitate la Automox. Registrul. „Veștile mari sunt vulnerabilitățile critice care trebuie evidențiate pentru o acțiune imediată”.

Bug-ul care este exploatat în sălbăticie este o vulnerabilitate de falsificare Windows LSA (Local Security Authority) urmărită ca CVE-2022-26925. Potrivit Microsoft, un atacator neautentificat ar putea „constrânge controlerul de domeniu să se autentifice la atacator folosind NTLM”.

Malefactorii ar putea realiza acest lucru printr-un atac de tip om-in-the-middle, în care se injectează în calea logică a rețelei dintre țintă și resursa solicitată. În timp ce gigantul de software a evaluat complexitatea atacului ca fiind „înalt”, a remarcat, de asemenea, că vulnul era sub atac activ. Așa că „cineva trebuie să-și fi dat seama cum să facă asta”, a scris Dustin Childs de la Trend Micro pe blogul Zero Day Initiative. Încălcarea securității a fost raportată la Microsoft de către Raphael John de la Bertelsmann Printing Group, ni se spune.

În plus, deși bug-ul a primit un scor de severitate CVSS de 8,3, dacă este înlănțuit cu atacurile releu NTLM de anul trecut, scorul CVSS combinat ar fi de 9,8, conform Microsoft. Pe lângă aplicarea patch-ului, Redmond recomandă consultarea documentului de asistență KB5005413 pentru mai multe informații despre protejarea rețelelor împotriva atacurilor de retransmisie NTLM. Și dacă nu a fost deja clar, acordați prioritate remedierii CVE-2022-26925 acum.

În cele din urmă, ni s-a spus că remedierea afectează backup-urile și Server 2008 SP2, deci consultați fișierul de asistență de mai sus pentru ajutor în acest sens.

Și suntem curioși de ce, după ce a făcut o mare tam-tam cu privire la o singură vulnerabilitate locală de escaladare a privilegiilor în lumea Linux luna trecută și i-a dat numele de cod atractiv Nimbuspwn, Redmond nu a numit defectul. . patched luna aceasta? Îi putem sugera lui Nadellapwn să înceapă Or LoSAh?

Două erori dezvăluite public

Alte două erori din grupul Patch Tuesday din această lună sunt enumerate ca având cod de exploatare scurs public. Dintre cele două, Microsoft spune că exploatarea CVE-2022-29972 este mai probabilă. Aceasta este o vulnerabilitate în conductele Azure Data Factory și Azure Synapse, care este specifică driverului terță parte Open Database Connectivity (ODBC) utilizat pentru a se conecta la Amazon Redshift în conductele Azure Synapse și Azure Data Factory Integration Runtime (IR).

Un atacator ar putea exploata această eroare pentru a „efectua execuția comenzilor de la distanță pe infrastructura IR, fără a se limita la un singur chiriaș”, a scris Microsoft într-o alertă de securitate.

Al doilea bug dezvăluit public, CVE-2022-22713, este o vulnerabilitate de denegare a serviciului în Windows Hyper-V. Microsoft spune că exploatarea acestui lucru este mai puțin probabilă și necesită ca un atacator să câștige o condiție de cursă.

Un alt bug interesant din grupul acestei luni este o vulnerabilitate de execuție a codului de la distanță Windows Network File System (NFS) care a primit un scor CVSS de 9,8. Este urmărit ca CVE-2022-26937 și poate fi exploatat de un utilizator la distanță neautentificat pentru a crea un apel către un serviciu NFS și apoi a executa cod rău intenționat.

Trebuie remarcat faptul că configurația implicită a dispozitivelor Windows nu este vulnerabilă, a spus Kevin Breen, director de cercetare a amenințărilor cibernetice la Immersive Labs. Registrul. Adică, caracteristica vulnerabilă NFS nu este activată implicit.

Totuși, „aceste tipuri de vulnerabilități vor atrage potențial operatorii de ransomware, deoarece ar putea duce la tipul de expunere critică a datelor care face adesea parte dintr-o încercare de răscumpărare”, a adăugat el.

Un alt bug atrăgător este CVE-2022-26923, un defect de escaladare a privilegiilor în Active Directory Domain Services, descoperit de Oliver Lyak de la Institutul pentru Risc Cibernetic din Danemarca și raportat prin ZDI. În esență, orice utilizator autentificat pe domeniu poate deveni un administrator de domeniu dacă serviciile vulnerabile rulează pe domeniu, ceea ce este înfricoșător. Veți dori să corectați și asta, oameni de IT.

Adobe remediază 18 CVE

Între timp, Adobe a lansat cinci actualizări de securitate pentru 18 CVE-uri în produsele sale Adobe Character Animator, Adobe ColdFusion, Adobe InDesign, Adobe Framemaker și Adobe InCopy.

Zece dintre ele apar în Adobe Framemaker și nouă din zece sunt critice cu scoruri CVSS de 7,8. Defecte de scriere în afara limitelor (OOB) și utilizarea memoriei eliberate anterior ar putea duce la execuția de cod de la distanță în termen de zece.

Google remediază vulnerabilitățile de escaladare a privilegiilor

În timpul rundei de corecții din mai, Google a corectat 36 de defecte Android la începutul acestei luni. Cea mai gravă eroare, pe care gigantul cloud a numit-o „vulnerabilitate de securitate ridicată”, apare în componenta Android Framework și ar putea duce la creșterea locală a privilegiilor de către aplicațiile rău intenționate.

Google a lansat un patch pentru aceasta și alte trei vulnerabilități de escaladare a privilegiilor de securitate înaltă în Framework, precum și o eroare moderată de dezvăluire a informațiilor de securitate.

SAP se alătură petrecerii de corecție

Și, în cele din urmă, SAP a lansat luna aceasta 17 corecții de securitate noi și actualizate. Aceasta include șase corecții pentru a remedia vulnerabilitatea critică de execuție a codului la distanță Spring4Shell în aplicațiile SAP.

În plus, avizul de securitate SAP #3145046 abordează o vulnerabilitate de scriptare între site-uri căreia i s-a atribuit un scor CVSS de 8,3. Onapsis Research Labs a ajutat la acest defect și a spus că există în interfața cu utilizatorul de administrare (UI) ICM în SAP Application Server ABAP/Java și în interfața cu utilizatorul de administrare a SAP Web Dispatcher, atât instanța autonomă, cât și încorporată (A)SCS.

„Singurul lucru care împiedică această vulnerabilitate să fie marcată cu un CVSS mai mare este faptul că un atacator trebuie să păcălească o victimă să se conecteze la interfața de utilizare cu ajutorul unui browser și că atacul este foarte complex”, au scris cercetătorii. ®

Add Comment