Η Microsoft κυκλοφόρησε την Τρίτη κρίσιμες ενημερώσεις λογισμικού για να διορθώσει τουλάχιστον 73 τεκμηριωμένα ελαττώματα ασφαλείας στο οικοσύστημα των Windows και προειδοποίησε ότι άγνωστοι εισβολείς εξαπολύουν ήδη επιθέσεις zero-day man-in-the-middle .
Το zero-day, που έχει επισημανθεί ως CVE-2022-26925, περιγράφεται ως ευπάθεια πλαστογράφησης LSA των Windows που παρέχει μια διαδρομή στους εισβολείς για έλεγχο ταυτότητας σε ελεγκτές τομέα.
“Ένας εισβολέας χωρίς έλεγχο ταυτότητας θα μπορούσε να καλέσει μια μέθοδο στη διεπαφή LSARPC και να εξαναγκάσει τον ελεγκτή τομέα να πραγματοποιήσει έλεγχο ταυτότητας στον εισβολέα χρησιμοποιώντας NTLM”, προειδοποίησε η Microsoft σε μια προειδοποιητική συμβουλή που αναγνώριζε την εκμετάλλευση της μηδενικής ημέρας.
“Αυτή η ενημέρωση ασφαλείας εντοπίζει ανώνυμες προσπάθειες σύνδεσης στο LSARPC και την απαγορεύει”, πρόσθεσε η Microsoft.
Όπως συνηθίζεται, η εταιρεία δεν παρείχε καμία πρόσθετη λεπτομέρεια για τα κατορθώματα που παρατηρήθηκαν στη φύση ή για οποιαδήποτε ΔΟΕ (δείκτες συμβιβασμού) για να βοηθήσει τους υπερασπιστές να αναζητήσουν σημάδια συμβιβασμού.
Παρόλο που επιβεβαιώνει τη μηδενική εκμετάλλευση του σφάλματος πλαστογράφησης LSA των Windows, η Microsoft σημείωσε ότι οι εισβολείς πρέπει πρώτα να εισέλθουν στη λογική διαδρομή δικτύου μεταξύ του στόχου και του πόρου που ζητά το θύμα προκειμένου να διαβάσουν ή να τροποποιήσουν τις επικοινωνίες δικτύου.
Αν και το σενάριο επίθεσης είναι περίπλοκο, οι ειδικοί ασφαλείας προειδοποιούν να μην υποβαθμιστεί ο κίνδυνος. “Ενώ το ελάττωμα αξιολογήθηκε ως σημαντικό και του αποδόθηκε βαθμολογία CVSSv3 8,1, εάν αυτή η ευπάθεια συνδεθεί με άλλες επιθέσεις NTLM Relay όπως το PetitPotam, η βαθμολογία CVSSv3 θα αυξηθεί στο 9,8, ανεβάζοντας τη σοβαρότητα αυτού του ελαττώματος σε κρίσιμη”, δήλωσε ο Satnam. Narang, ερευνητής μηχανικός προσωπικού στην Tenable.
Εκτός από την επιδιόρθωση του σφάλματος μηδενικής ημέρας, οι οργανισμοί που προτείνει η Narang αναφέρονται στο KB5005413 για τρόπους μετριασμού των επιθέσεων αναμετάδοσης NTLM κατά των υπηρεσιών πιστοποιητικών Active Directory.
Οι διαχειριστές του στόλου των Windows καλούνται επίσης να δώσουν προσοχή σε πολλές ευπάθειες του Print Spooler που επιδιορθώθηκαν αυτόν τον μήνα, συμπεριλαμβανομένων δύο ελαττωμάτων αποκάλυψης πληροφοριών (CVE-2022-29114, CVE-2022-29140) και δύο ελαττωμάτων προνομίων (CVE-2022-29104, CVE -2022-29132).
Τα σφάλματα του Print Spooler βαθμολογούνται ως “σημαντικά” και δύο από τα τρία θεωρούνται πιο πιθανό να γίνουν αντικείμενο εκμετάλλευσης. «Το Windows Print Spooler συνεχίζει να παραμένει πολύτιμος στόχος για τους εισβολείς από τότε που το PrintNightmare αποκαλύφθηκε σχεδόν πριν από ένα χρόνο. Ιδιαίτερα η αύξηση των ελαττωμάτων του Privilege θα πρέπει να δοθεί προσεκτικά σε προτεραιότητα», πρόσθεσε ο Narang.
Η παρτίδα ενημερώσεων κώδικα αυτού του μήνα αντιμετωπίζει επίσης ευπάθειες σε .NET και Visual Studio, Microsoft Exchange Server, Microsoft Office, Windows Hyper-V, BitLocker, Remote Desktop Client, Windows Network File System, NTFS και Windows Point-to-Point Tunneling Protocol.
Ξεχωριστά, ο κατασκευαστής λογισμικού Adobe απέστειλε ενημερώσεις κώδικα για να καλύψει τουλάχιστον 18 σοβαρά ελαττώματα ασφαλείας σε πολλά προϊόντα που αντιμετωπίζουν επιχειρήσεις και προειδοποίησε ότι τα μη επιδιορθωμένα συστήματα κινδυνεύουν από επιθέσεις απομακρυσμένης εκτέλεσης κώδικα.
Ως μέρος του προγραμματισμένου κύκλου κυκλοφορίας «Patch Tuesday», η Adobe προειδοποίησε για κρίσιμα τρωτά σημεία που βρέθηκαν και επιδιορθώθηκαν στον επεξεργαστή εγγράφων FrameMaker, στο εργαλείο διάταξης σελίδας InDesign, στο εργαλείο καταγραφής κίνησης Character Animator και στην πλατφόρμα Adobe ColdFusion.