Windows Zero-Day Mengancam Pengontrol Domain secara Aktif

Home windows Zero-Day Mengancam Pengontrol Area secara Aktif


Microsoft menekan 74 kerentanan keamanan dengan pembaruan Patch Tuesday Mei 2022, termasuk bug zero-day berperingkat penting yang dieksploitasi secara aktif di alam liar dan beberapa yang kemungkinan ada secara luas di seluruh perusahaan.

Itu juga menambal tujuh kelemahan kritis, 65 bug berperingkat penting lainnya, dan satu masalah dengan tingkat keparahan rendah. Perbaikan menjalankan keseluruhan portofolio raksasa komputasi, termasuk: Komponen Home windows dan Home windows, .NET dan Visible Studio, Microsoft Edge (berbasis Chromium), Microsoft Trade Server, Komponen Workplace dan Workplace, Home windows Hyper-V, Metode Otentikasi Home windows, BitLocker, Home windows Cluster Shared Quantity (CSV), Klien Desktop Jarak Jauh, Sistem File Jaringan Home windows, NTFS, dan Home windows Level-to-Level Tunneling Protocol.

3 Zero-Days, 1 Aktif Dieksploitasi
Bug yang dieksploitasi secara aktif (CVE-2022-26925) adalah kerentanan Home windows LSA-spoofing yang memberi peringkat 8,1 dari 10 pada skala kerentanan-kerentanan CVSS – namun, Microsoft mencatat dalam nasihatnya bahwa itu harus ditingkatkan hingga kritis (CVSS 9.8) jika digunakan di Home windows NT LAN Supervisor (NTLM ) serangan estafet.

“[A]n penyerang yang tidak diautentikasi dapat memanggil metode pada antarmuka LSARPC dan memaksa pengontrol area untuk mengautentikasi penyerang menggunakan NTLM,” Microsoft memperingatkan dalam nasihatnya – situasi yang mengkhawatirkan mengingat pengontrol area menyediakan akses tingkat tinggi ke hak istimewa.

Sekarang tidak digunakan lagi, NTLM menggunakan protokol otentikasi lemah yang dapat dengan mudah mengungkapkan kredensial dan kunci sesi. Dalam serangan relai, aktor jahat dapat menangkap autentikasi dan menyampaikannya ke server lain – yang kemudian dapat mereka gunakan untuk mengautentikasi ke server jauh dengan hak istimewa pengguna yang disusupi.

Konon, bug tersebut lebih sulit untuk dieksploitasi daripada kebanyakan, jelas peneliti Pattern Micro Zero Day Initiative (ZDI) Dustin Childs dalam sebuah weblog hari selasa. “Aktor ancaman harus berada di jalur jaringan logis antara goal dan sumber daya yang diminta (misalnya, man-in-the-middle), tetapi karena ini terdaftar sebagai serangan aktif, seseorang pasti telah menemukan cara untuk membuat itu terjadi.”

Tyler Reguly, manajer R&D keamanan di Tripwire, mengatakan kepada Darkish Studying bahwa bug tersebut dapat dikaitkan dengan ancaman yang terlihat sebelumnya yang dikenal sebagai PetitPotam, yang muncul pada bulan Juli untuk memungkinkan penyerang memaksa sistem Home windows jarak jauh untuk mengungkapkan hash kata sandi yang mudah dipecahkan.

“Berdasarkan tautan yang disediakan Microsoft, ini tampaknya terkait dengan yang sebelumnya Patch PetitPotam, “catatnya, menambahkan bahwa para peneliti akan menebak-nebak tentang itu. “Ini adalah contoh utama di mana ringkasan eksekutif terperinci yang menjelaskan apa yang terjadi berguna di masa lalu. Akan sangat bagus jika Microsoft dapat kembali menyediakannya secara teratur,” katanya.

Microsoft juga menambal dua zero-day lainnya, termasuk bug kritis (CVE-2022-29972CVSS tidak tersedia) di Perception Software program’s Magnitude Simba Amazon Redshift ODBC Driver – “konektor information ODBC pihak ketiga yang digunakan untuk terhubung ke Amazon Redshift, di Integration Runtime (IR) di Azure Synapse Pipelines, dan Azure Knowledge Manufacturing facility,” sebagai Anak ZDI menjelaskan.

Dia menambahkan, “Pembaruan ini cukup rumit untuk Microsoft ke weblog tentang bug dan bagaimana hal itu memengaruhi beberapa layanan Microsoft.”

Hari nol terakhir (CVE-2022-22713CVSS 5.6) adalah bug berperingkat penting di Home windows Hyper-V yang dapat memungkinkan penolakan layanan (DoS).

Lampu Terkemuka: Bug Keamanan Microsoft yang Penting untuk Ditambal Sekarang
Sejauh tambalan lain yang harus diprioritaskan oleh admin bulan ini, beberapa masalah yang dinilai kritis sangat luas jangkauannya di seluruh infrastruktur organisasi dan dapat memengaruhi jutaan perusahaan, para peneliti memperingatkan.

“Berita besarnya adalah kerentanan kritis yang perlu disorot untuk tindakan segera,” Chris Hass, direktur keamanan di Automox, mengatakan kepada Darkish Studying. “Bulan ini menampilkan kerentanan di sejumlah aplikasi yang lazim di sebagian besar organisasi perusahaan, termasuk NSF, Klien Desktop Jarak Jauh, dan Direktori Aktif.”

Misalnya, bug kritis yang memengaruhi Sistem File Jaringan Home windows, atau NFS (CVE-2022-26937, CVSS 9.8) dapat mengizinkan eksekusi kode jarak jauh (RCE) yang tidak diautentikasi dalam konteks layanan NFS yang sangat istimewa, menurut nasihat Microsoft. Untuk boot, di mana-mana adalah seperti Log4j: Ini “ada di setiap versi Home windows Server dari 2008 ke depan,” kata Hass, “yang menempatkan sebagian besar organisasi pada risiko jika tindakan tidak diambil dengan cepat.”

Lebih lanjut, “jenis kerentanan ini berpotensi menarik bagi operator ransomware karena dapat menyebabkan jenis paparan information penting, sering kali bagian dari upaya tebusan,” Kevin Breen, direktur penelitian ancaman dunia maya di Immersive Labs, mengatakan kepada Darkish Studying.

Dalam hal siapa yang harus memprioritaskan patch, “NFS tidak aktif secara default, tetapi umum di lingkungan di mana sistem Home windows dicampur dengan OS lain seperti Linux atau Unix. Jika ini menggambarkan lingkungan Anda, Anda harus menguji dan menerapkannya. patch ini dengan cepat,” Childs memperingatkan.

Adapun bug penting lainnya yang perlu dipertimbangkan, bendera Breen CVE-2022-22017 (CVSS 8.8), masalah RCE di Klien Distant Desktop (RDP) yang juga ada di mana-mana.

“Dengan lebih banyak pekerja jarak jauh dari sebelumnya, perusahaan perlu menempatkan apa pun yang mempengaruhi RDP di radar – terutama mengingat popularitasnya dengan aktor ransomware dan dealer akses,” dia memperingatkan.

Bug Direktori Aktif (CVE-2022-26923, CVSS 8.8) ditemukan di Layanan Area dan dapat memungkinkan peningkatan hak istimewa berkat masalah dengan penerbitan sertifikat. ZDI, yang melaporkan bug tersebut, mengatakan bahwa penyerang dapat memperoleh akses ke sertifikat untuk mengautentikasi ke DC dengan hak istimewa tingkat tinggi, memungkinkan setiap pengguna yang diautentikasi area untuk menjadi admin area jika Layanan Sertifikat Direktori Aktif sedang berjalan.

“Ini adalah penyebaran yang sangat umum,” kata Childs. “Mempertimbangkan tingkat keparahan bug ini dan relatif mudahnya mengeksploitasi, tidak mengejutkan saya melihat serangan aktif menggunakan teknik ini lebih cepat daripada nanti.”

Yang kurang memprihatinkan, kata Breen, adalah sekelompok 10 bug RCE di LDAP (yang paling parah, CVE-2022-22012, memiliki skor CVSS sebesar 9,8). Ini “tampak sangat mengancam; namun, mereka telah ditandai oleh Microsoft sebagai ‘kemungkinan kecil eksploitasi’ karena mereka memerlukan konfigurasi default yang tidak mungkin ada di sebagian besar lingkungan,” catatnya. “Ini bukan untuk mengatakan tidak perlu menambal ini, melainkan pengingat bahwa konteks itu penting ketika memprioritaskan tambalan.”

Yang Terburuk dari Sisanya
Beberapa kerentanan lain yang juga menonjol bagi para peneliti patut dicatat di sini, dimulai dengan Home windows Print Spooler, yang telah lama menyajikan sasaran yang menarik bagi para penyerang siber.

“Ada beberapa kerentanan Home windows Print Spooler yang ditambal bulan ini, termasuk dua kelemahan pengungkapan informasi (CVE-2022-29114, CVE-2022-29140) dan dua elevasi kekurangan hak istimewa (CVE-2022-29104, CVE-2022-29132),” Satnam Narang, staf insinyur penelitian di Tenable, mengatakan kepada Darkish Studying. “Semua kekurangan dinilai penting, dan dua dari tiga dianggap lebih mungkin untuk dieksploitasi. Home windows Print Spooler terus menjadi goal berharga bagi penyerang sejak PrintNightmare diungkapkan hampir setahun yang lalu. Cacat elevasi-of-privilege khususnya harus diprioritaskan dengan hati-hati, karena kami telah melihat kelompok ransomware seperti Conti mendukung mereka sebagai bagian dari pedomannya.”

Breen juga menyoroti dua bug berperingkat penting lainnya sebagai prioritas tambalan:

  • CVE-2022-29108, kelemahan yang dapat dijalankan dari jarak jauh di Sharepoint yang kemungkinan dapat disalahgunakan oleh penyerang yang ingin bergerak secara lateral di seluruh organisasi. “Memerlukan akses yang diautentikasi untuk mengeksploitasi, ini dapat digunakan oleh aktor ancaman untuk mencuri informasi rahasia atau menyuntikkan dokumen dengan kode atau makro berbahaya yang dapat menjadi bagian dari rantai serangan yang lebih luas,” Breen memperingatkan.
  • Sebuah bug di Pabrik Knowledge Azure (tidak ada CVE yang ditetapkan) dapat dieksploitasi dari jarak jauh dan dapat mengekspos information rahasia perusahaan, menurut Breen.

Virsec CTO dan salah satu pendiri Satya Gupta mengatakan bahwa secara keseluruhan, konteks yang lebih luas dari tren patching Microsoft penting untuk dipertimbangkan bagi para pembela HAM. Secara khusus, pada tahun lalu, lebih dari sepertiga patch (1.330, atau 36%) adalah untuk masalah RCE.

“Ini tentu saja merupakan peluang besar bagi aktor jahat untuk berkompromi dengan hampir semua pelanggan,” katanya. “Secara whole, beberapa kerentanan Could mewakili tingkat eksposur Log4j, terutama jika Anda mempertimbangkan apa yang diperlukan untuk menambal jutaan server.”

Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts