Af Eskil Sørensen, 14/12/22
Årets sidste Patch Tuesday har ført rettelser til 48 nye sårbarheder fra Microsoft på tværs af produkter. En af sårbarhederne er under aktiv udnyttelse og en anden er muligvis på vej. Det skiver Dark Reading og en række andre medier med henvisning til Microsofts månedlige opdateringsrelease.
Seks sårbarhederne betegnes som ’kritiske’, mens over 40 ligger niveauet under som værende ’alvorlige’. Patch Tuesday inkluderer CVE'er, der blev rettet uden for cyklus i slutningen af november, plus 23 sårbarheder i Googles Chromium-browserteknologi, som Microsofts Edge-browser er baseret på.
Den mest omtalte 0-dagssårbarhed har CVE-2022-44698 og giver angribere mulighed for at omgå Windows SmartScreen-sikkerhedsfunktion, der beskytter brugerne mod ondsindede filer, der downloades fra internettet. Denne sårbarhed skal ifølge Dark Readings artikel bruges sammen med en eksekverbar fil eller anden ondsindet kode som et dokument eller script-fil. Hvis det er tilfældet kan den omgå noget af Microsofts SmartScreen, der har til formål at fortælle en bruger, at filen muligvis ikke er sikker.
Den anden 0-dagssårbarhed beskrives af Microsoft som værende offentligt kendt, men ikke under aktiv udnyttelse. Den er et priviledge escalation-problem i DirectX Graphics-kernen, der ville give en angriber mulighed for at få rettigheder på systemniveau, hvis den udnyttes. Men den beskrives som værende en sårbarhed, som angribere ’er mindre tilbøjelige til at udnytte’.
Tre opmærksomheds-CVE’er
Af sårbarheder, der også er værd at fremhæve er en spoofing-sårbarhed i Microsoft Outlook til Mac (CVE-2022-44713), der – som det er med spoofing – gør det muligt for en angriber at fremstå som en betroet bruger. Det kan få et offer til at tage en e-mail-meddelelse for gode vare, eftersom den ser ud til at komme fra en legitim bruger.
Der fremhæves også en RCE-sårbarhed (CVE-2022-41076), der gør det muligt for en autentificeret hacker at undslippe PowerShell Remoting Session Configuration og køre vilkårlige kommandoer på et berørt system. PowerShell Remoting Session er en mulighed for at køre Windows PowerShell-kommandoer på en eller flere remote computere.
Denne vurderes til at være ’mere sandsynligt’, at angribere kompromitterer, selvom angrebskompleksiteten er høj; fejlen anses for at være én, som angribere ofte udnytter, fordi den kan give en stabil indtægtskilde, når de først har fået adgang til et netværk.
Og endelig er der CVE-2022-44699, som er en anden sårbarhed vedrørende omgåelse af sikkerhed. Denne findes i Azure Network Watcher Agent. Hvis den udnyttes, kan den påvirke en organisations evne til at fange logfiler, der er nødvendige for svare på hændelser.
Derudover retter Patch Tuesday sårbarheder, der påvirker Microsoft Dynamics NAV, lokale versioner af Microsoft Dynamics 365 Business Central, Windows Secure Socket Tunneling Protocol (SSTP), en RCEi .NET Framework og i Microsoft SharePoint Server og sårbarhed i en Windows Print Spooler-udvidelse m.fl.
Links:
https://msrc.microsoft.com/update-guide/releaseNote/2022-Dec
https://blog.talosintelligence.com/microsoft-patch-tuesday-for-december-2022/
https://www.darkreading.com/application-security/microsoft-squashes-zero-day-actively-exploited-bugs-dec-update
https://www.helpnetsecurity.com/2022/12/13/cve-2022-44698/
https://www.theregister.com/2022/12/14/microsoft_december_patch_tuesday/
https://www.itnews.com.au/news/seven-critical-vulnerabilities-round-out-microsofts-2022-589105
https://nakedsecurity.sophos.com/2022/12/14/patch-tuesday-0-days-rce-bugs-and-a-curious-tale-of-signed-malware/
https://www.securityweek.com/patch-tuesday-microsoft-plugs-windows-hole-exploited-ransomware-attacks