12.10.20223 min

Maciej OlanickiRedakcja Bulldogjob

Microsoft wydał październikowe biuletyny bezpieczeństwa

W tym miesiącu załatano ponad 80 podatności, ale niestety nie ważne luki 0-day w Exchange’u.

Microsoft wydał październikowe biuletyny bezpieczeństwa

Dysponujemy już najnowszymi aktualizacjami bezpieczeństwa i poprawkami dla produktów Microsoftu, w pierwszej kolejności zaś Windowsa. Październikowa aktualizacja bezpieczeństwa obejmuje łatki na 84 podatności w różnych produktach Microsoftu, z czego aż 13 ma status krytyczny. 


Październikowe biuletyny bezpieczeństwa – luki krytyczne

Aż 7 z 13 krytycznych luk (CVE-2022-30198, CVE-2022-41081, CVE-2022-38047, CVE-2022-24504, CVE-2022-22035, CVE-2022-33634) załatanych dzięki październikowym biuletynom odnaleziono w Windows Point-to-Point Tunneling Protocol. Jest on wykorzystywany do nawiązywania połączeń VPN. 

Wszystkie one pozwalają na zdalne wykonanie kodu po stronie serwera z użyciem specjalnie spreparowanego w tym celu pakietu. Warto zaznaczyć, że podatności te wymagają spełnienia tzw. warunku win a race – nie mamy więc do czynienia z sytuacją, w której do wykorzystania tej rodziny podatności wystarczy wyłącznie korzystać PPTP, ale także spełnić ściśle określone warunki po stronie potencjalnej ofiary ataku. 

Kolejna krytyczne luka, którą załatano w październikowym biuletynie tkwiła w Windows CryptoAPI, a zatem API wykorzystywanym do ochrony kryptograficznej windowsowych aplikacji. CVE-2022-34689, bo tej podatności mowa, pozwala na manipulację certyfikatami x.509 i w ten sposób sfałszowania swojej tożsamości w celu uwierzytelniania czy nawet podpisywania kodu.

W najnowszym zestawie łatek wyeliminowano także krytyczną podatność w windowsowym hipernadzorcy maszyn wirtualnych, Hyper-V. CVE-2022-37979 pozwalała w systemie Windows Server 2022 na podniesienie uprawnień użytkownika do poziomu Level 1 Hyper-V Windows Root OS, ale tylko w przypadku zagnieżdżonych środowisk Hyper-V. W obu ostatnich przypadkach konieczne jest także spełnienie warunku win a race.

Pozostałe podatności w produktach Microsoftu oznaczone jako krytyczne dotyczą klastrów Kubernetes w Azure Arc (CVE-2022-37968, podniesienie uprawnień), zdalnego wykonania kodu na serwerze SharePoint (CVE-2022-41038) oraz zdalnego wykonaniu kodu z użyciem luki CVE-2022-41038 w pakiecie Microsoft Office. Jak na ironię krytyczna dziura pozwalająca na podniesienie uprawnień (CVE-2022-37976) znalazła się także w systemie zarządzania certyfikatami Active Directory.


Exchange wciąż niezałatany

Z pełną listą wszystkich podatności załatanych w październikowych biuletynach znaleźć można na stronach Microsoft Security Response Center. Przy okazji premiery najświeższych łatek, trzeba jednak wspomnieć o pewnej łyżce dziegciu. Otóż korporacji nadal nie udało się załatać podatności zero-day w serwerze poczty Exchange, która może być aktywnie wykorzystywana przez cyberprzestępców. 

Z komunikatu na ten temat dowiadujemy się jedynie, że łatki będą dostępne wtedy, kiedy… będą gotowe. O co chodzi? Otóż pod koniec września w serwerze poczty Microsoft Exchange odnaleziono dwie luki: CVE-2022-41040 (poziom wysoki ryzyka, 8.8 w CVSS 3.1) oraz CVE-2022-41082 (taka sama klasyfikacja). Odnalezione przez firmę GTSC są na tyle groźne, że stwierdzono już przypadki ataków z użyciem tych podatności.

Nie oznacza to jednak, że przed zagrożeniem wynikającym z niezałatanych w październikowych biuletynach luk nie można się zabezpieczyć, czy też ograniczyć ryzyka. Już dzień po ujawnieniu obu podatności Microsoft wydał bowiem stosowne rekomendacje. Według niej tymczasowym rozwiązaniem, do czasu aż łatka nie będzie gotowa, ma być zablokowanie znanej powierzchni ataku z użyciem akcji URL Rewrite, a także wyłączenie zdalnego dostępu do serwera Exchange przez PowerShell dla wszystkich użytkowników, którzy nie są administratorami.

<p>Loading...</p>