Einschätzung von Akamai zum Patch Tuesday im Dezember 2022
Microsofts Patch Tuesday für Dezember 2022 wurde veröffentlicht,und wir bei der Akamai Security Intelligence Group haben uns auf die Suche nach den faszinierendsten gepatchten Schwachstellen gemacht. Es scheint, als wäre Weihnachten dieses Jahr besonders früh gekommen, denn das Update für Dezember ist viel kürzer als die der Vormonate – vielleicht können wir uns also vor den Feiertagen ein wenig entspannen. Zumindest bis der nächste Nachfolger von Log4Shell auftaucht (wir haben da bereits einen netten Kandidaten im Auge, also vergessen Sie bitte nicht das Patchen!).
In diesem Bericht bewerten wir, wie kritisch die Schwachstellen und wie alltäglich die betroffenen Anwendungen und Services sind, und bieten realistische Perspektive auf die Fehler, die behoben wurden. Diese Einblicke erscheinen innerhalb weniger Tage nach jedem Patch Tuesday.
Dies ist ein aktualisierter Bericht, und wir werden ihm weitere Informationen hinzufügen, während unsere Forschung voranschreitet – schauen Sie also wieder vorbei!
In diesem Bericht konzentrieren wir uns auf die folgenden Bereiche, in denen Fehler gepatcht wurden:
Für jeden betroffenen Service, den wir in diesem Bericht abhandeln, versuchen wir, Empfehlungen zur Überwachung und Minderung anzubieten, wenn das Patchen nicht möglich ist. Natürlich ist keine Minderung so gut wie ein Patch, also stellen Sie sicher, dass Sie Ihre Systeme nach Möglichkeit patchen und auf dem neuesten Stand halten.
Windows PowerShell
Windows PowerShell ist ein nützliches Tool für Systemadministration und -verwaltung sowie für Automatisierung. Es ist standardmäßig in den meisten Windows-Versionen verfügbar. Diesen Monat wurde ein kritischer CVE gepatcht, CVE-2022-41076. Er hat einen CVSS-Wert von 8,5. Dieser CVE ist eigentlich für PowerShell Remote. PowerShell unterstützt Remote-Befehle über das WinRM-Protokoll. Das ist standardmäßig nicht aktiviert. Server müssen zunächst das PSRemoting aktivieren, bevor derartige Zugriffe oder Kommunikation möglich sind. Ein erfolgreicher Angriff auf diesen CVE ermöglicht es authentifizierten Angreifern, die Konfiguration ihrer PSRemote-Sitzung zu umgehen und nicht genehmigte Befehle auszuführen.
Anwendungsbereich
Da die PowerShell Remote-Kommunikation über WinRM übertragen wird, können wir den Umfang der Nutzung bewerten, indem wir nach WinRM-Verbindungen suchen. Unter unseren überwachten Umgebungen verfügen 77 % über mindestens einen Rechner mit aktiviertem WinRM, und in diesen Netzwerken akzeptierten durchschnittlich 27 % der überwachten Rechner WinRM-Verbindungen. Wir konnten einige Netzwerke ganz ohne WinRM finden sowie einige, in denen mehr als 95 % der Rechner WinRM aktiviert hatten.
Allgemeine Empfehlungen
Die erste und wichtigste Empfehlung ist immer, alle Systeme zu patchen. Falls Sie nicht sofort Patches installieren können, können wir uns auf einige Aspekte von PowerShell Remote verlassen, um die Risiken etwas zu mindern:
PowerShell Remote und WinRM sind nicht standardmäßig aktiviert, daher sind nur Rechner gefährdet, bei denen sie aktiviert sind. Sie können überprüfen, ob WinRM aktiviert ist, indem Sie überprüfen, ob der WinRM-Dienst ausgeführt wird, oder indem Sie den PowerShell-Befehl Test-WSMan verwenden. Wenn Sie über Netzwerktransparenz verfügen, können Sie außerdem nach Kommunikation über die TCP-Ports 5985 und 5986, die standardmäßigen WinRM-Ports, suchen.
Bei Rechnern, auf denen WinRM aktiviert ist, können Sie mit Mikrosegmentierung den Zugriff auf benötigte Quellen beschränken (z. B. nur IT-Personal oder -Services). Dies kann über die TCP-Ports 5985 und 5986 erfolgen – die standardmäßigen WinRM-Ports. Um zu bestimmen, wer oder was Zugriff erhalten soll, empfehlen wir die Verwendung eines Tools zur Netzwerktransparenz oder eines Netzwerk-Sniffers, um die vorhandenen Kommunikationsmuster sichtbar zu machen.
Wenn Sie Rechner mit aktiviertem WinRM finden, die keine Verbindungen erhalten, oder Sie glauben, dass WinRM nicht aktiviert sein muss, können Sie es einfach deaktivieren.
Mit Transparenz, Segmentierung und Deaktivierung der unnötigen Nutzung des Service können Sie die Auswirkungen des CVE erheblich reduzieren, bis Sie Zeit für das Patchen des Systems haben.
Windows Client/Server Run-Time Subsystem
Windows Client/Server Run-Time Subsystem (CSRSS) ist ein Systemprozess, der für eine Vielzahl von Funktionen auf einem Windows-Computer verantwortlich ist. Dazu gehören das Erstellen und Löschen von Prozessen und Threads sowie die Unterstützung von Konsolenanwendungen.
Der Prozess csrss.exe ist so wichtig, dass er auf jedem Windows-Computer gestartet wird, wenn das System hochfährt, und nicht beendet werden kann. Ein Abbruch dieses Prozesses würde einen gefürchteten Blue Screen (Systemabsturz) verursachen.
Diesen Monat wird eine kritische Schwachstelle bezüglich der Erhöhung von Berechtigungen mit einen CVSS-Wert von 7, CVE-2022-44673, in CSRSS gepatcht. Dem Bericht von Microsoft zufolge kann ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, Systemberechtigungen erhalten.
Obwohl die Komplexität des Angriffs als „hoch“ gekennzeichnet ist, erwähnt Microsoft im Bericht auch, dass „eine Ausnutzung wahrscheinlicher ist“. Da CSRSS auf jedem Windows-Computer läuft, empfehlen wir dringend ein Patching.
Microsoft Office
Kein Weihnachten ohne Geschenke: Die Microsoft Office CVEs sind diesen Monat in Geberlaune. Es gibt 10 wichtige Schwachstellen, die alle einen CVSS-Score von 7,8 haben und sich auf drei Produkte/Komponenten verteilen: Visio, OneNote und Microsoft Office Graphics.
Der Angriffsvektor
Obwohl alle CVEs als Remotecodeausführung markiert sind, handelt es sich tatsächlich um ACE-Schwachstellen (arbitrary code execution, willkürliche Befehlsausführung). Das bedeutet, dass ein Angreifer die Schwachstellen nicht selbst ausnutzen kann, sondern stattdessen durch Social Engineering einen Nutzer dazu bringen muss, sie auszunutzen. Ein erfolgreicher Exploit dieser Schwachstelle erfordert, dass der Nutzer/das Opfer dazu verleitet wird, eine speziell entwickelte Datei herunterzuladen und diese dann in der entsprechenden anfälligen Software zu öffnen.
Das Risiko eines erfolgreichen Exploits kann gesenkt werden, indem Endnutzer vor Social-Engineering-Versuchen gewarnt werden. Stellen Sie sicher, dass die Endnutzer nicht auf Weihnachtsbetrug hereinfallen, sonst wartet nach den Feiertagen eventuell eine böse Überraschung in Ihrem Netzwerk auf Sie. Da sich diese Anwendungen in der Regel nicht auf Servern befinden, ist es möglicherweise einfacher, die Endpunkte der Nutzer zu patchen, da Ausfallzeiten bei Nutzern in der Regel kostengünstiger sind als Serverausfallzeiten.
CVEs
CVE-Nummer |
Komponente |
|---|---|
Microsoft Office Graphics |
|
Microsoft Office Visio |
|
Microsoft Office OneNote |
Zuvor behandelte Services
Viele der CVEs im aktuellen Patch Tuesday befinden sich in Systemen, die wir bereits in der Vergangenheit behandelt haben, und wir haben nichts Neues zur Abwehr Ihrer Risiken hinzuzufügen. Wenn Sie an unserer Analyse oder allgemeinen Empfehlungen zu diesen Services interessiert sind, empfehlen wir Ihnen, unsere vorherigen Beiträge zu lesen.
Service |
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
|---|---|---|---|
Remotecodeausführung |
Mit Berechtigungen zum Verwalten von Listen authentifiziert |
||
Remotecodeausführung |
Netzwerk |
||
Remotecodeausführung |
Authentifizierte Verbindung über WCF TCP |
Diese Zusammenfassung gibt einen Überblick über unser aktuelles Verständnis der verfügbaren Informationen und über unsere Empfehlungen. Unsere Überprüfung läuft und alle hierin enthaltenen Informationen können sich jederzeit ändern.
