Microsoft schließt LSA-Lücke in Windows unter aktivem Angriff • The Register

Microsoft hat 74 Sicherheitslücken in seinem Mai-Patch-Dienstag-Stapel von Updates gepatcht. Das sind sieben kritische Fehler, von denen 66 als wichtig erachtet werden und einer mit niedrigem Schweregrad.

Mindestens eine der offengelegten Schwachstellen wird laut Redmond aktiv mit öffentlichem Exploit-Code angegriffen, während zwei andere mit öffentlichem Exploit-Code aufgeführt sind.

Nach dem April erstaunlich Über 100 Schwachstellen, May’s patchen Veranstaltung scheint vergleichsweise zahm. „Dieser Monat gleicht dies jedoch durch schwere und infrastrukturelle Probleme aus“, sagte Chris Hass, Sicherheitsdirektor bei Automox Das Register. “Die große Neuigkeit sind die kritischen Schwachstellen, die für sofortige Maßnahmen hervorgehoben werden müssen.”

Der Fehler, der in freier Wildbahn ausgenutzt wird, ist eine Spoofing-Schwachstelle von Windows LSA (Local Security Authority), die als verfolgt wird CVE-2022-26925. Laut Microsoft könnte ein nicht authentifizierter Angreifer „den Domänencontroller zwingen, sich mit NTLM beim Angreifer zu authentifizieren“.

Kriminelle könnten dies über einen Man-in-the-Middle-Angriff erreichen, bei dem sie sich in den logischen Netzwerkpfad zwischen dem Ziel und der angeforderten Ressource einschleusen. Während der Softwareriese die Angriffskomplexität als „hoch“ einstufte, stellte er auch fest, dass die Schwachstelle aktiv angegriffen wird. Also “muss jemand herausgefunden haben, wie das passiert” schrieb Dustin Childs von Trend Micro im Blog der Zero Day Initiative. Die Sicherheitslücke wurde Microsoft von Raphael John von der Bertelsmann Printing Group gemeldet.

Darüber hinaus erhielt der Fehler einen CVSS-Schweregrad von 8,3, wenn er mit dem des letzten Jahres verkettet wurde NTLM-Relay-Angriffe, wäre der kombinierte CVSS-Score laut Microsoft 9,8. Zusätzlich zum Anwenden des Patches empfiehlt Redmond, das zu überprüfen KB5005413 Support-Dokument für weitere Informationen zum Schützen von Netzwerken vor NTLM-Relay-Angriffen. Und wenn es noch nicht klar war, priorisieren Sie jetzt das Patchen von CVE-2022-26925.

Schließlich wurde uns mitgeteilt, dass der Patch Backups und Server 2008 SP2 betrifft, also überprüfen Sie die obige Support-Datei, um Hilfe dazu zu erhalten.

Und wir sind gespannt warum, nach der Herstellung eine riesige Aufregung wegen einer einsamen lokalen Privilegien-Eskalations-Schwachstelle in der Linux-Welt im letzten Monat und gab ihr den einprägsamen Codenamen Nimbuspwn, hat Redmond weder den oben genannten Fehler noch eines der anderen etwa 20 LPEs genannt, die es diesen Monat gepatcht hat? Dürfen wir Nadellapwn für den Anfang oder LoSAh vorschlagen?

Zwei öffentlich bekannt gegebene Fehler

Zwei weitere Bugs im Patchday-Bundle dieses Monats enthalten öffentlich bekannt gegebenen Exploit-Code. Von den beiden sagt Microsoft Ausbeutung CVE-2022-29972 ist eher. Dies ist eine Schwachstelle in Azure Data Factory- und Azure Synapse-Pipelines, die spezifisch für den Open Database Connectivity (ODBC)-Treiber eines Drittanbieters ist, der zum Herstellen einer Verbindung mit Amazon Redshift in Azure Synapse-Pipelines und Azure Data Factory Integration Runtime (IR) verwendet wird.

Microsoft schrieb in einer Sicherheitswarnung.

Der zweite öffentlich gemeldete Fehler, CVE-2022-22713, ist eine Denial-of-Service-Schwachstelle in Windows Hyper-V. Laut Microsoft ist die Ausnutzung dieses Angriffs weniger wahrscheinlich und erfordert, dass ein Angreifer eine Race Condition gewinnt.

Ein weiterer interessanter Fehler in der Reihe dieses Monats ist eine Schwachstelle im Windows Network File System (NFS), die eine Remotecodeausführung ermöglicht und einen CVSS-Wert von 9,8 erhielt. Es wird verfolgt als CVE-2022-26937und es kann von einem entfernten, nicht authentifizierten Benutzer ausgenutzt werden, um einen Aufruf an einen NFS-Dienst zu erstellen und dann bösartigen Code auszuführen.

Es ist erwähnenswert, dass die Standardkonfiguration für Windows-Geräte nicht anfällig ist, sagte Kevin Breen, Director of Cyber ​​Threat Research bei Immersive Labs Das Register. Das heißt, die anfällige NFS-Funktionalität ist standardmäßig nicht aktiviert.

Dennoch „werden diese Arten von Schwachstellen möglicherweise Ransomware-Betreiber ansprechen, da sie dazu führen könnten, dass kritische Daten offengelegt werden, die oft Teil eines Lösegeldversuchs sind“, fügte er hinzu.

Ein weiterer auffälliger Fehler ist CVE-2022-26923, eine Privilegien-Eskalationslücke in Active Directory-Domänendiensten, die von Oliver Lyak vom Institut für Cyber-Risiko in Dänemark entdeckt und über das ZDI gemeldet wurde. Grundsätzlich kann jeder domänenauthentifizierte Benutzer ein Domänenadministrator werden, wenn die anfälligen Dienste in der Domäne ausgeführt werden, was beängstigend ist. Sie sollten dies auch patchen, IT-Leute.

Adobe 18 CVEs behoben

Inzwischen hat Adobe freigegeben fünf Sicherheitsupdates für 18 CVEs in seinem Adobe Character Animator, Adobe ColdFusion, Adobe InDesign, Adobe FrameMaker und Adobe InCopy Produkte.

Zehn davon treten in Adobe Framemaker auf, und neun der zehn sind mit 7,8 CVSS-Werten kritisch. Out-of-Bounds Write (OOB)-Fehler und die Verwendung von zuvor freigegebenem Speicher könnten bei allen zehn zur Remote-Code-Ausführung führen.

Google patcht Escalation-of-Privilege-Schwachstellen

In seiner Mai-Patch-Runde hat Google Fest 36 Android-Fehler Anfang dieses Monats. Der schwerwiegendste Fehler, den der Cloud-Gigant als „Hochsicherheitslücke“ einstuft, tritt in der Android-Framework-Komponente auf und könnte zu einer lokalen Eskalation von Privilegien durch betrügerische Apps führen.

Google hat einen Patch für diese und drei weitere Hochsicherheitslücken zur Eskalation von Privilegien in Framework herausgegeben, plus einen Fehler bei der Offenlegung von Informationen mit moderater Sicherheit.

SAP schließt sich der Patch-Party an

Und schließlich hat SAP diesen Monat 17 neue und aktualisierte Sicherheitsfixes veröffentlicht. Darin enthalten sind sechs Patches zur Behebung der kritischen Schwachstelle Remote Code Execution Spring4Shell in SAP-Anwendungen.

Zusätzlich SAP-Sicherheitshinweis #3145046 behebt eine Cross-Site-Scripting-Schwachstelle, die einen CVSS-Score von 8,3 erhielt. Onapsis Research Labs hat bei diesem Fehler geholfen und erklärt, dass er in der Verwaltungsbenutzeroberfläche (UI) von ICM in SAP Application Server ABAP/Java und in der Verwaltungsbenutzeroberfläche für SAP Web Dispatcher sowohl als eigenständige als auch als (A)SCS-Instanz vorhanden ist eingebettet.

„Das einzige, was verhindert, dass diese Schwachstelle mit einem höheren CVSS gekennzeichnet wird, ist die Tatsache, dass ein Angreifer ein Opfer dazu verleiten muss, sich über einen Browser an der Verwaltungsoberfläche anzumelden, und dass der Angriff sehr komplex ist“, so die Forscher schrieb. ®

Leave a Comment

Your email address will not be published.