Microsoft July 2022 Patch Tuesday

13.07.2022

Přinášíme pravidelný přehled nových zranitelností v rámci Microsoft July 2022 Patch Tuesday. Jedná se celkem o 84 CVEs, z čehož 4 jsou hodnoceny jako Critical a 79 jako Important a jedna zatím neznámého hodnocení.

Žádná zranitelnost nebyla dříve zveřejněna a existuje jedna zranitelnost, která již byla zneužita (exploited). Tato již zneužitá zranitelnost je eskalací oprávnění, která ovlivňuje běhový subsystém klientského serveru v systému Windows (CSRSS). Myslím, že v CSRSS Microsoft publikoval již tento rok několik podobných zranitelností. Podle mého názoru kvůli této nově vydané není třeba nějak panikařit, ale zároveň netřeba ji podcenit. Tento měsíc se řeší i mnoho dalších zranitelnosti typu eskalace oprávnění, viz níže. Jednou ze zajímavostí tohoto měsíce Patch Tuesday je velké množství zranitelností typu eskalace oprávnění, které se opravují v Azure Site Recovery. Jedná se o službu, kterou Microsoft nabízí, aby usnadnil přesun a nastavení Azure z jedné zóny do druhé. Abychom zde získali nějaký jednodušší druh převzetí služeb při selhání. Zajímavé je, že v této konkrétní službě existuje tolik zranitelností, pokud jde o kritické zranitelnosti, a ještě dvě další kritické zranitelnosti v síťovém souborovém systému Windows. Jedná se o zranitelnosti umožňující vzdálené spuštění kódu. Mám dojem, že je to minimálně třetí měsíc v řadě, kdy na této problém Microsoft vydává záplaty.

https://msrc.microsoft.com/update-guide/releaseNote/2022-Jul

CVE:2022-22047– Windows CSRSS Elevation of Privilege Vulnerability

CVSS:3.1 7.8 / 6.8
CVSS Vector: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Jedná se o zranitelnost EoP v běhovém subsystému Windows Client Server. Získala skóre CVSSv3 7,8 a je hodnocena jako důležitá. Microsoft tvrdí, že tato chyba zabezpečení již byla veřejně zneužita, i když v době zveřejnění nebyly sdíleny žádné další podrobnosti. Tento typ zranitelnosti však pravděpodobně byl použit jako součást aktivity po kompromitaci, jakmile útočník získal přístup k jejich cílovému systému a spustil speciálně vytvořenou aplikaci.

Tato zranitelnost je připisována střediskům Microsoft Threat Intelligence Center a Microsoft Security Response Center

Pro informace, jak se chránit, prosím postupujte dle Microsoft popisu zde:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22047

Posouzení využitelnosti: Velmi Pravděpodobné.

cve:2022-30181 (a ostatní, celkem 31!) – Azure Site Recovery Elevation of Privilege Vulnerability

CVSSv3.1: 6.5/5.9
CVSS Vector: AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H

Druhou důležitou zranitelností, která stojí za zmínku, je zranitelnost EoP v Azure Site Recovery, sadě nástrojů zaměřených na poskytování služeb obnovy po havárii. Zranitelnost byla objevena a nahlášena společnosti Microsoft výzkumným pracovníkem společnosti Tenable Jimi Sebree. Existuje kvůli chybě oprávnění k adresáři, která může útočníkovi umožnit použití DLL únosu ke zvýšení jeho oprávnění na SYSTEM. Můžete si přečíst více o objevení zranitelnosti na Tenable Techblog a prohlédnout si jejich veřejné doporučení zde.

Doplňující informace k mitigace naleznete zde, pozor, těchto zranitelností je celkem 31:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-33675

Posouzení využitelnosti: Pravděpodobné, spíše nekomplexní

CVE-2022-22038 - Remote Procedure Call Runtime Remote Code Execution Vulnerability

CVSSv3.1: 8.1/7.3
CVSS Vector: AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Chyba zabezpečení RCE ve vzdáleném běhu volání procedur, která má dopad na všechny podporované verze systému Windows. Chyba zabezpečení získala skóre CVSSv3 8,1, a přestože nejsou vyžadována žádná oprávnění, skóre CVSS ukazuje, že složitost útoku je vysoká. Microsoft to dále podporuje poznámkou v informačním zpravodaji, která uvádí, že k přípravě cíle pro úspěšné zneužití jsou vyžadovány další akce útočníka. Toto je jedna ze čtyř chyb zabezpečení připisovaných Yuki Chen z Cyber KunLun v tomto měsíci.

Posouzení využitelnosti: spíše nepravděpodobné, spíše komplexní.

Podrobnější popis mitigace najdete na Microsoft odkaze:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22038

CVE-2022-20229, CVE-2022-22039 – Windows Network File System Vulnerabilities

CVSSv3.1: 5.9/5.1
CVSS Vector: AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-22029 a CVE-2022-22039 jsou zranitelnosti RCE v systému souborů Windows Network File System (NFS). Oběma chybám bylo přiřazeno „méně pravděpodobné využívání“, protože tyto chyby mají vysokou složitost útoku. V případě CVE-2022-22029 by útočník musel „investovat čas do opakovaných pokusů o zneužití“ „zasíláním konstantních nebo přerušovaných dat“. CVE-2022-22028 i CVE-2022-22039 vyžadují, aby útočník „vyhrál závod“, aby mohl tyto chyby zabezpečení zneužít.

Microsoft tyto chyby zabezpečení připsal bezpečnostnímu výzkumníkovi Yuki Chen z Cyber KunLun. Toto je třetí měsíc v řadě, kdy Chen nahlásil zranitelnosti ve Windows NFS, ačkoli dříve opravené chyby měly vyšší hodnocení kritičnosti.

Posouzení využitelnosti: spíše nepravděpodobné, velmi komplexní.

Mitigace a doporučení:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22029

Přehled všech Microsoft zranitelností v červnu pomocí nástroje ELK stacku:

https://patchtuesdaydashboard.com/

Na závěr dovolte přehled popsaných zranitelností Adobe Acrobat a SAP za stejné období:

Adobe Acrobat, sada zranitelností typu Arbitrary code execution hodnocena jako critical

https://helpx.adobe.com/security/products/acrobat/apsb22-32.html

SAP portfolio

https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

​Přinášíme pravidelný přehled nových zranitelností v rámci Microsoft July 2022 Patch Tuesday. Jedná se celkem o 84 CVEs, z čehož 4 jsou hodnoceny jako Critical a 79 jako Important a jedna zatím neznámého hodnocení.