Af Eskil Sørensen, 26/09/22
Microsoft har i denne uge udsendt en såkaldt out-of-band-sikkerhedsopdatering til sin Endpoint Configuration Manager-løsning. Det skriver Security Week.
Opdateringen kommer uden for den normale opdateringscyklus og retter en sårbarhed, som ondsindede aktører kan udnytte til at bevæge sig rundt i en organisations netværk, som ’lateral movement’ er et udtrykt for.
Sårbarheden har id’et CVE-2022-37972, og med en score på 7,5 lægger den sig i det spænd i CVSS v3.0-skalaen fra 7 til 8,9, der betegnes som værende ’høj’. Microsoft beskriver sårbarheden som et spoofing-problem.
Ifølge Security Week skriver Microsoft i sin advisory, at der ikke er beviser for udnyttelser. Detaljer om sårbarheden forventes dog offentliggjort ifm. med en konference i november, hvorfor det ses som grunden til, at Microsoft sender opdateringen ud uden for opdateringscyklussen.
Ransomwareangreb muligt
Microsoft Endpoint Configuration Manager (MECM) hed tidligere ’SCCM’ og er lokal administrationsløsning til desktops, servere og bærbare computere, der giver brugerne mulighed for at implementere opdateringer, apps og operativsystemer. En metode til at implementere den nødvendige klientapplikation til endpoints er klient-push-installation, som gør det muligt for administratorer nemt og automatisk at skubbe klienter til nye enheder.
I et blogindlæg allerede i juli blev det påvist af en researcher, at en angriber med administratorrettigheder på ét endpoint kan misbruge designfejl ved klient-push-installation til at opnå hashed-legitimationsoplysninger for alle konfigurerede push-konti. I blogindlægget blev der advaret om, at eftersom nogle af disse konti kunne have domæneadministratorrettigheder eller forhøjede privilegier på flere maskiner i virksomheden, så ville de udnyttes af trusselsaktører til ’sideværts bevægelse’, altså lateral movement, som kunne bruges til iværksættelse af ransomware-angreb.
Angrebet er muligt, delvist på grund af en indstilling, der tillader forbindelser at falde tilbage til den mindre sikre NTLM-godkendelsesprotokol.
MECM-sårbarheden er relateret til brugen af NTLM-godkendelse. Før Microsoft rettede fejlen, var det muligt at tvinge NTLM-godkendelse til klientens push-konto.
CISA opfordrer administratorer til at gennemgå Microsofts råd og anvende de nødvendige opdateringer.
Links:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37972