Microsoft Släpper Patchar För Fullt Utnyttjad Sårbarhet

Microsoft släpper patchar för fullt utnyttjad sårbarhet

Microsoft ”Patch Tuesday” bestående av 66 CVE fixar, inklusive en RCE-bugg i MSHTML en fullt utnyttjad sårbarhet under aktiv attack där angripare sprider guider för hur man kan exploatera denna sårbarhet och har varit under aktiv attack i nästan två veckor.

En annan bugg listas som allmänt känd men utnyttjas (ännu) inte. Immersive Labs Kevin Breen, chef för cyberhotforskning, konstaterade att med bara en CVE under aktiv attack i det vilda är det en ”ganska lätt patch tisdag” – åtminstone på ytan, det vill säga.

Bristerna hittades i Microsoft Windows- och Windows -komponenter, Microsoft Edge (Chromium, iOS och Android), Azure, Office och Office Components, SharePoint Server, Microsoft Windows DNS och Windows Subsystem för Linux.

Av de 66 nya CVE -patchar som lappats idag är tre betygsatta kritiska, 62 bedöms som viktiga och 1 bedöms som måttlig i svårighetsgrad.

Under de senaste nio månaderna 2021 är detta den sjunde månaden där Microsoft lappade färre än 100 CVE, i stark kontrast till 2020, då Redmond spenderade åtta månader med att skölja ut mer än 100 CVE -patchar per månad. Men även om det totala antalet sårbarheter är lättare, har allvarlighetsgraden stigit, vilket Zero Day Initiative noterade.

Vissa observatörer fastställde den högsta korrigeringsprioriteringen i denna månads batch som en korrigering för CVE-2021-40444: En viktig rankad sårbarhet i Microsofts MSHTML (Trident) -motor som ger 8,8 av 10 på CVSS-skalan.

Det avslöjades den 7 september, det är en smärtsamt dunkande öm tumme, med tanke på att forskare utvecklat ett antal proof-of-concept (PoC) exploater som visar hur busenkelt det är att utnyttja den vilket angripare även har delat guider för hur man gör.

Under aktiv attack: CVE-2021-40444

Det har gått nästan två veckor sedan denna allvarliga, enkla att utnyttja bugg har varit under aktiv attack, och det har gått nästan en vecka sedan angripare började dela ritningar om hur man utför ett angrepp.

Microsoft sa förra veckan att bristen kunde låta en angripare ”skapa en skadlig ActiveX-kontroll som ska användas av ett Microsoft Office-dokument som är värd för webbläsarens renderingsmotor”, varefter ”angriparen måste övertyga användaren att öppna det skadliga dokumentet . ” Tyvärr fortsätter skadliga makroangrepp att vara vanliga: I juli var exempelvis äldre användare av Microsoft Excel inriktade på en skadlig kampanj som använde en ny teknik för att förhindra skadlig programvara för att inaktivera skadliga makrovarningar och leverera ZLoader-trojanen.

En angripare måste övertyga en användare att öppna ett specialutformat Microsoft Office -dokument som innehåller exploateringskoden.

Satnam Narang, personalforskningsingenjör på Tenable, noterade via e-post att det har förekommit varningar om att denna sårbarhet kommer att införlivas i nyttolaster för skadlig kod och användas för att distribuera ransomware: En stark anledning till att placera korrigeringen högst upp på din prioritetslista.

”Det finns inga indikationer på att detta har hänt ännu, men med korrigeringen nu tillgänglig bör organisationer prioritera att uppdatera sina system så snart som möjligt”, sa Narang till Threatpost.

I onsdags den 8 september noterade Kevin Beaumont – chef för säkerhetsoperationscentret för brittiska modehandlaren Arcadia Group och en tidigare ledande säkerhetsanalytiker på Microsoft – att utnyttjandet har varit aktiv i drygt en vecka.

Det blev värre: Förra torsdagen den 9 september började hotaktörer dela med sig av hur man gör och PoC: er för Windows MSHTML zero-day. BleepingComputer provade och fann att guiderna är ”enkla att följa och låter alla skapa sin egen fungerande version” av utnyttjandekoden, ”inklusive en Python-server för att distribuera skadliga dokument och CAB -filer.”

Det tog publiceringen endast 15 minuter att återskapa utnyttjandet.

För en vecka sedan, tisdagen den 7 september, hade Microsoft och Cybersecurity and Infrastructure Security Agency (CISA) uppmanat till begränsningar för fjärrkörning av (RCE) buggen, vilket återfinns i alla moderna Windows-operativsystem.

Förra veckan sa företaget inte mycket om felet i MSHTML, också känt som Trident, vilket är HTML-motorn inbyggd i Windows sedan Internet Explorer debuterade för mer än 20 år sedan och som gör att Windows kan läsa och visa HTML -filer.

Microsoft sa dock att de var medvetna om riktade attacker som försökte utnyttja det via specialgjorda Microsoft Office-dokument.

Trots att det inte fanns några säkerhetsuppdateringar för sårbarheten vid den tiden, gick Microsoft vidare och avslöjade det, tillsammans med motåtgärder avsedda att förhindra exploatering.

Motåtgärder som inte motverkar

Spårad som CVE-2021-40444 är bristen så allvarlig att CISA skickade sin egen rådgivning, varnade användare och administratörer och rekommenderade att de använder de motåtgärder och lösningar som Microsoft rekommenderade. Motåtgärder som försöker förhindra exploatering genom att blockera ActiveX-kontroller och förhandsgranskningar av Word/RTF-dokument i Utforskaren.

Betoning på ”försök till:” Tyvärr visade sig dessa motåtgärder vara mindre än idiotsäkra, eftersom forskare, inklusive Beaumont, lyckades modifiera utnyttjandet så att det inte använde ActiveX, vilket effektivt undvek Microsofts begränsningar.

Zero Day Initiative sa att för närvarande är det mest effektiva försvaret ”att använda uppdateringen och undvika Office-dokument som du inte förväntar dig att få.”

Var noga med att noggrant granska och installera alla nödvändiga patchar för din miljö: Det finns en lång lista med uppdateringar för specifika plattformar, och det är viktigt att inte slå på ett för tunt skyddslager.

Kredit för att hitta denna bugg går till Rick Cole från MSTIC; Bryce Abdo, Dhanesh Kizhakkinan och Genwei Jiang, alla från Mandiant; och Haifei Li från EXPMON.

Baddest Bug Award

Priset för värsta bugg-eller åtminstone den med högsta allvarlighetsgrad, med en CVSS-poäng på 9,8-går till CVE-2021-38647: en kritisk sårbarhet för fjärrkodskörning (RCE) i Open Management Infrastructure.

OMI är ett öppet källkodprojekt för att främja utvecklingen av en implementering av produktionskvalitet av DMTF CIM/WBEM-standarder.

”Denna sårbarhet kräver ingen användarinteraktion eller privilegier, så en angripare kan köra sin kod på ett sårbart system bara genom att skicka ett speciellt utformat meddelande till ett sårbart system”, förklarade Zero Day Initiatve. Det gör det till hög prioritet: ZDI rekommenderade att OMI-användare testar och distribuerar den här snabbt.

Ännu fler PrintNightmare -patchar

Microsoft korrigerade också tre förhöjda privilegier i Windows Print Spooler (CVE-2021-38667, CVE-2021-38671 och CVE-2021-40447), alla rankade som viktiga.

Det här är de tre senaste korrigeringarna i en stadig ström av patchar för brister i Windows Print Spooler som följde avslöjandet av PrintNightmare i juni. Detta kommer förmodligen inte att vara den sista korrigeringen i den raden: Tenables Narang sa till Threatpost att ”forskare fortsätter att upptäcka sätt att utnyttja Print Spooler” och att företaget förväntar sig ”fortsatt forskning inom detta område.”

Endast en-CVE-2021-38671-av dagens patchtrio är betygsatt som ”utnyttjande mer sannolikt”. Oavsett så bör organisationer prioritera att åtgärda dessa brister eftersom ”de är extremt värdefulla för angripare i scenarier efter exploatering”, konstaterade Narang.

Mer ”exploatering mer sannolikt”

Immersive’s Breen berättade för Threatpost att en trio av lokala sårbarheter för eskalering av privilegier i Windows Common Log File System Driver (CVE-2021-36955, CVE-2021-36963, CVE-2021-38633) också är anmärkningsvärda, alla är listade som ”utnyttjande mer sannolikt.”

”Lokala priv-esc-sårbarheter är en nyckelkomponent i nästan varje framgångsrik cyberattack, särskilt för sådana som ransomware-operatörer som missbrukar denna typ av utnyttjande för att få högsta åtkomstnivå”, sa Breen via e-post. ”Detta gör att de kan inaktivera antivirusprogram, ta bort säkerhetskopior och se till att deras kryptovirus kan nå även de mest känsliga filerna.”

Ett tydligt exempel på detta framkom i maj, då hundratals miljoner Dell-användare befanns vara i fara på grund av fel i kärnprivilegier. Buggarna förblev oupptäckta i 12 år och kunde ha tillåtit angripare att kringgå säkerhetsprodukter, köra kod och förflytta sig till andra system i miljön via nätverket.

De tre sårbarheter som Microsoft lappade på tisdagen går inte att utnyttja på distans, vilket betyder att angripare måste ha uppnått behörigheter att exekvera kod på andra sätt. Ett sådant sätt skulle vara via CVE-2021-40444.

Två andra sårbarheter CVE-2021-38639 och CVE-2021-36975, båda Win32k-eskalering av privilegium fel-har också listats som ”utnyttjande mer sannolikt” och täcker tillsammans hela utbudet av Windows-versioner som stöds.

Breen sa att han börjar känna sig som ett repad skiva när det gäller sårbarheter för eskalering av privilegier. De är inte betygsatta med lika hög allvarlighetsrisk som RCE-buggar, men ”dessa lokala bedrifter kan vara stöttepelaren i faserna efter exploatering av en erfaren angripare”, hävdade han. ”Om du kan blockera dem här, har du potential att avsevärt begränsa deras skada.”

Han tillade, ”Om vi ​​antar att en bestämd angripare kommer att kunna infektera ett offers enhet genom social engineering eller andra tekniker, skulle jag hävda att korrigering av priv-esc-sårbarheter är ännu viktigare än att korrigera några andra fjärrkoder för exekvering av kod,” sa Breen.

Ändå är denna RCE ganska viktig

Danny Kim, en huvudarkitekt på Virsec som tillbringade tid på Microsoft under sitt examensarbete på OS-säkerhetsteamet, vill att säkerhetsteam uppmärksammar CVE-2021-36965 en viktig Windows WLAN AutoConfig Service RCE-sårbarhet-med tanke på dess kombination av svårighetsgrad (med en CVSS: 3,0 baspoäng på 8,8); inga krav på att eskalera privilegier/användarinteraktion för att utnyttja; och bredden av berörda Windows -versioner.

WLAN AutoConfig -tjänsten är en del av mekanismen som Windows 10 använder för att välja det trådlösa nätverk en dator ska ansluta till och följaktligen även Windows Scripting Engine.

Patchen åtgärdar en brist som kan tillåta nätverksgränsande angripare att köra sin kod på berörda system, på systemnivå.

Såsom Zero Day Initiative förklarade betyder det att en angripare ”helt kan ta över målet – förutsatt att de är på ett intilliggande nätverk.” Det skulle vara ganska praktiskt i en kaféattack, där flera personer använder ett osäkert Wi-Fi-nätverk.

Den här ”är särskilt alarmerande”, sa Kim: Tänk SolarWinds och PrintNightmare.

”Som de senaste trenderna har visat är fjärrexekvering av kod de mest kritiska sårbarheterna, som kan leda till den största negativa påverkan på ett företag, som vi har sett i Solarwinds- och PrintNightmare-attackerna”, sade han i ett mejl.

Kim sa att trots att utnyttjandekodens mognad för närvarande inte är bevisad, har sårbarheten bekräftats existera och lämnat en öppning för angripare.

”Eftersom det är beroende av att angriparen befinner sig i samma nätverk, så det skulle inte vara förvånande att se denna sårbarhet användas i kombination med en annan CVE/attack för att uppnå en angripares slutmål”, förutspådde han. ”Fjärrkörningsattacker kan leda till att okontrollerade processer körs på servrar, vilket bara belyser behovet av konstant, deterministisk körningskontroll. Utan detta skydd kan RCE -attacker leda till en total förlust av konfidentialitet och integritet för ett företags data. ”

Zero Day Initiative tyckte också att den här var alarmerande. Även om det kräver närhet till ett mål, kräver det inga privilegier eller användarinteraktion, så ”låt inte den intilliggande aspekten av detta fel minska allvarhetsgraden”, stod det. ”Absolut testa och distribuera den här korrigeringen snabbt.”

Och Glöm inte att uppdatera Chrome

Breen berättade för Threatpost via e-post att säkerhetsteam också bör uppmärksamma 25 sårbarheter som är korrigerade i Chrome och överförda till Microsofts Chromium-baserade Edge.

Webbläsare är trots allt ett fönster till saker som är både privata, känsliga och värdefulla för kriminella, sa han.

”Jag kan inte underskatta vikten av att korrigera dina webbläsare och hålla dem uppdaterade”, betonade han. ”När allt kommer omkring är webbläsare sättet vi interagerar med internet och webbaserade tjänster som innehåller all slags mycket känslig, värdefull och privat information. Oavsett om du tänker på din nätbank eller data som samlas in och lagras i organisationens webbappar, kan de alla avslöjas av attacker som utnyttjar webbläsaren. ”