Einschätzung von Akamai zum Patch Tuesday im Oktober 2022

Cluster Connect von Kubernetes mit Azure Arc-Unterstützung

Azure Arc ermöglicht es Kunden, ihre Infrastruktur vor Ort mit Azure zu verbinden, um die Verwaltung zu vereinfachen. Auf diese Weise können Kunden alle ihre Umgebungen – virtuelle Maschinen, Kubernetes-Cluster, Datenbanken, Server und mehr – mithilfe eines einzigen Ressourcenmanagers, dem Azure Resource Manager, verwalten. Kubernetes mit Azure Arc-Unterstützung ermöglicht es dem Nutzer, Kubernetes unabhängig vom Standort zu verbinden und zu konfigurieren, egal ob in einer Cloud- oder lokalen Umgebung, und im Azure Resource Manager anzuzeigen. 

Diesen Monat gab es eine kritische Schwachstelle bezüglich der Erhöhung von Berechtigungen mit einem CVSS-Score von 10 in der Kubernetes-Cluster-Connect-Funktion mit Azure Arc-Unterstützung. Cluster Connect ist eine Funktion, die es dem Kunden ermöglicht, seinen Kubernetes-Cluster mit seinen Azure Arc-Services zu verbinden, indem er einen Reverse-Proxy-Agent auf dem Cluster ausführt. Außerdem können Nutzer eine Verbindung zum API-Server des Clusters herstellen, ohne eingehende Ports in der Firewall zu aktivieren. Wir glauben, dass dies einer der Faktoren ist, die dieser CVE die maximale Punktzahl verliehen haben, da jeder über das Internet darauf zugreifen kann.

Nach Angaben von Microsoft muss ein Angreifer den zufällig generierten externen DNS-Endpunkt für den Cluster kennen und über einen Internetzugang verfügen, um diese Schwachstelle auszunutzen. Im Falle eines erfolgreichen Angriffs ermöglicht es die Cluster Connect-Funktion einem nicht authentifizierten Nutzer seine Berechtigungen als Cluster-Administrator zu erhöhen, was ihm möglicherweise die Kontrolle über den Kubernetes-Cluster verleiht. Auch Azure Stack Edge ist für diese CVE anfällig, wenn es mit einem anfälligen Azure Arc verbunden ist, da es Kunden die Bereitstellung von Kubernetes-Workloads auf ihren Geräten über Azure Arc ermöglicht.

Allgemeine Empfehlungen

Da die Kubernetes-Cluster-Connect-Funktion mit Azure Arc-Unterstützung über TCP-Port 443 kommuniziert, ist die Segmentierung dieses Ports nicht trivial. Die gute Nachricht ist jedoch, dass bei Verwendung von Azure Arc die automatische Aktualisierung standardmäßig aktiviert ist, sodass Sie geschützt sein sollten. Wenn Sie sich nicht sicher sind, ob Sie geschützt sind, können Sie hier überprüfen, ob die automatische Aktualisierung aktiviert ist. Wenn dies nicht der Fall ist, verwenden Sie diese Anleitung zum Aktualisieren Ihres Agenten.

CVEs

Microsoft CryptoAPI

Microsoft CryptoAPI ist Microsofts eigene Methode zur Handhabung von sicheren Verbindungen und zur Verifizierung von Codesignaturen. Eine der wichtigsten Rollen von CryptoAPI ist die Zertifikatsverwaltung.

Microsoft hat am Patch Tuesday im August 2022 ein Problem mit der CryptoAPI-Bibliothek behoben. Dieses Problem wurde vom U.K. National Cyber Security Centre und der U.S. National Security Agency gemeldet, und der Ratgeber wurde im Oktober veröffentlicht. 

Wir glauben, dass die relevantesten Änderungen in crypt32.dll stattgefunden haben, wo die Funktion CreateChainContextFromPathGraph geändert wurde. Wir gehen davon aus, dass die Schwachstelle damit in Verbindung steht.

CreateChainContextFromPathGraph wird von CertGetCertificateChain aufgerufen, ein gut dokumentierter API-Aufruf, der jedes Mal erfolgt, wenn eine sichere Verbindung hergestellt wird, um einen Kontext für die Zertifikatskette zu erstellen. Wir vermuten derzeit, dass die Schwachstelle in einer fehlenden Überprüfung innerhalb der Funktion liegt.

Bei Erfolg kann ein Angreifer seine Identität vortäuschen und sich in einer sicheren Verbindung als legitimer Partner tarnen. Dazu muss der Angreifer wahrscheinlich einen Man-in-the-Middle-Angriff durchführen. Außerdem geht aus den Patch-Informationen hervor, dass sich der Angreifer nicht authentifizieren muss, um diese Schwachstelle auszunutzen. Ein Angreifer kann auch das X509-Zertifikat manipulieren, um den Codesignaturschutz zu umgehen.

Allgemeine Empfehlungen

Microsoft weist darauf hin, dass die Schwachstelle aus der Ferne und ohne Authentifizierung ausgenutzt werden kann.  Da Microsoft CryptoAPI in Windows weit verbreitet und auf jedem Windows-Endpunkt vorhanden ist, empfehlen wir, den Patch zu installieren. Es ist ferner erwähnenswert, dass diese Schwachstelle am Patch Tuesday im August behoben wurde. Daher sind Rechner, die Updates ab August enthalten, vor dieser Schwachstelle geschützt.

CVEs

Windows Point-to-Point-Tunneling-Protokoll (PPTP) 

Das Point-to-Point-Protokoll (PPP) ist in den Remotezugriffsserver (Remote Access Server, RAS) integriert und bietet Framing- und Authentifizierungsfunktionen für Remoteverbindungen.

In diesem Monat wurden sieben Schwachstellen in PPP gepatcht – alles kritische Schwachstellen bei der Remotecodeausführung (Remote Code Execution, RCE) mit einem CVSS-Score von 8,1. Letzten August entdeckte derselbe Forscher – Yuki Chen – zwei RCE-Schwachstellen mit einem CVSS-Score von 9,8 im gleichen Protokoll.

Laut den Hinweisen von Microsoft kann ein nicht authentifizierter Remoteangreifer durch das Senden eines manipulierten schädlichen PPTP-Pakets Code auf einem PPTP-Server ausführen lassen. Die Ausnutzung aller sieben Schwachstellen wird jedoch aufgrund der Komplexität des Angriffs für unwahrscheinlich gehalten – er erfordert das Überwinden einer nicht deterministischen Racebedingung, was Zeit kosten kann. 

Wie verbreitet ist PPTP? Von allen Windows-Servern, die wir in unseren überwachten Umgebungen abgefragt haben, empfangen 40 % der Server Verbindungen über Port 1723, den Standardport für das Point-to-Point-Tunneling-Protokoll. Was über das Internet zugänglichen Server betrifft, meldet Shodan 3,3 Millionen Server, die 1723 überwachen; allerdings läuft auf fast keinem davon Windows.

Wo ist der Fehler? Wir vermuten, dass die Schwachstellen in raspptp.sys zu finden sind, dem Treiber, der das PPTP implementiert.

Allgemeine Empfehlungen

Microsoft weist darauf hin, dass die Schwachstelle nur durch Kommunikation über Port 1723 ausgenutzt werden kann. Neben der Installation von Patches kann eine Ausnutzung also auch dadurch verhindert werden, dass RAS-Server im Netz segmentiert und Verbindungen über diesen Port blockiert werden. Es ist jedoch zu beachten, dass die Sperrung des Ports die reguläre Kommunikation beeinträchtigen kann.

CVEs

Microsoft Office

Microsoft Office ist eine Client-Software-Suite. Am Patch Tuesday im Oktober wurden mehrere wichtige Schwachstellen in Office-Anwendungen behoben.  Drei der Schwachstellen könnten bei erfolgreicher Ausnutzung durch einen böswilligen Akteur zur Ausführung von beliebigem Code führen. Bei einer weiteren Schwachstelle (CVE-2022-38001) handelt es sich um eine Spoofing-Schwachstelle, von der wir annehmen, dass sie die Authentifizierung erzwingt. Da Microsoft die Probleme als nicht über das Vorschaufenster auslösbar beschreibt, gehen wir davon aus, dass diese Schwachstellen mit Makros zusammenhängen, die eine Nutzerinteraktion erfordern, bevor sie angezeigt/ausgeführt werden. 

Allgemeine Empfehlungen

Die Schwachstellen betreffen die Microsoft Office-Anwendungssuite und nicht Office 365. Daher sollten Kunden, die Microsoft Office verwenden, ihre Geräte aktualisieren. Da die verschiedenen Anwendungen von Microsoft Office eine große Angriffsfläche bieten und immer wieder Schwachstellen aufweisen, empfehlen wir, wenn möglich, die Verwendung von Application Guard für Office. Application Guard isoliert den Prozess, der die Anhänge öffnet, in einer Sandbox und verhindert so, dass der Host-Rechner im Falle eines erfolgreichen Angriffs Schaden nimmt.

CVEs

Active Directory-Zertifikatdienste

Active Directory-Domänendienste (AD DS) sind eine der Kernkomponenten von Active Directory. Server, auf denen diese Rolle ausgeführt wird, sind die Domänencontroller der Windows-Domäne.

Analyse des Umfangs

In jedem Windows-Domänennetzwerk gibt es mindestens einen Windows-Server, auf dem AD DS ausgeführt wird: den Domänencontroller.

Die Sicherheitslücke in diesem Monat befindet sich in den Active Directory-Zertifikatdiensten (AD CS), die nicht standardmäßig verfügbar sind, sondern eine zusätzliche Rolleninstallation erfordern. Bei unseren überwachten Windows-Servern in Kundenumgebungen sehen wir, dass 66 % unserer überwachten Netzwerke über einen Server mit der AD CS-Rolle verfügen.

AD CS ist bekannt dafür, von Angreifern missbraucht zu werden, wobei das berüchtigtste Beispiel der jüngsten Zeit PetitPotam war. Hier wurde es im Angriffsablauf als Ziel für das NTLM-Relay verwendet (hierzu gibt es einen exzellenten Bericht von SpecterOps).

Allgemeine Empfehlungen

Da es nur wenige AD CS-Server gibt, sollte es möglich sein, die Netzwerksegmentierung zu nutzen, um anomale Verbindungen einzuschränken oder zu erkennen. Da die AD CS-Authentifizierung über RPC,erfolgt, kann es schwierig sein, sie nur anhand von Verbindungs-Metadaten zu erkennen (weil sie über einen zufälligen, flüchtigen Port erfolgt), was die meisten Segmentierungslösungen ermöglichen. In diesem Fall sollte es dennoch möglich sein, ausgehende RPC-Verbindungen von Windows-Servern zu segmentieren (mit Hilfe des RPC-Endpunkt-Mappers auf Port 135), insbesondere zu Desktop-Rechnern, die keine RPC-Verbindungen haben sollten.

CVE-Analyse

Bei CVE-2022-37976 ist der Angriff nicht unbedingt auf die AD CS-Server gerichtet, sondern stützt sich auf diese als einzige Voraussetzung. Der Angriff erfolgt vielmehr auf DCOM-Server und in Form einer erzwungene Authentifizierung. Laut Microsoft kann ein böswilliger DCOM-Client die Schwachstelle nutzen, um einen DCOM-Server zu veranlassen, sich gegenüber dem Client mit AD CS zu authentifizieren und diese Authentifizierung weiterzuleiten, um schließlich ein Domainadministrator-Token zu erhalten.

Bei CVE-2022-37978 geht es hingegen um die NTLM-Authentifizierung. Da in den FAQ zu dieser Schwachstelle angegeben wird, dass der Angriff einen Man-in-the-Middle (MITM) erfordert und die NTLM-Authentifizierung betrifft, gehen wir davon aus, dass es bei dieser Schwachstelle darum geht, auf AD CS-Servern vorhandene Mitigationen gegen NTLM-Relay-Angriffe zu umgehen.

Microsoft SharePoint 

Microsoft SharePoint ist ein webbasiertes Dokumentverwaltungs- und Speichersystem, das sich in andere Microsoft Office-Produkte integrieren lässt. Diesen Monat liegen vier RCE-Schwachstellen vor, alle mit einem CVSS-Wert von 8,8. Nur eine davon ist kritisch (die anderen sind wichtig). Für alle vier Schwachstellen muss der Angreifer authentifiziert sein und über die Berechtigung zum Verwalten von Listen verfügen. Dies ist den Schwachstellen des letzten Monats sehr ähnlich, was bedeuten könnte, dass Microsoft ein Problem mit seinen Patches hatte und weitere Fehlerbehebungen ergänzen musste.

Anwendungsbereich

SharePoint erfordert eine dedizierte Installation und ist standardmäßig nicht verfügbar. Es kann auf einem einzelnen Server oder in einem Cluster installiert werden. In unseren überwachten Umgebungen haben wir erlebt, dass 21 % der Netzwerke mindestens einen SharePoint-Server aufwiesen.

Allgemeine Empfehlungen

Da SharePoint-Server normalerweise für die gemeinsame Nutzung von Dokumenten vorgesehen sind, kann es schwierig sein, den Nutzerzugriff auf sie zu segmentieren oder zu beschränken, ohne den normalen Betrieb zu beeinträchtigen. Da die vier Schwachstellen jedoch bestimmte Berechtigungen erfordern, damit die Ausnutzung funktioniert, sollte es möglich sein, die Angriffsfläche durch diese Berechtigungen zu reduzieren. Das Reduzieren und Verwalten von Nutzerberechtigungen kann ein langwieriger und mühsamer Prozess sein. Daher empfiehlt es sich natürlich, Ihre Server zu patchen.

Obwohl es wahrscheinlich nicht möglich sein wird, alle Berechtigungen zum Verwalten von Listen zu entfernen, kann die Liste der berechtigten Nutzer vielleicht gekürzt oder über Bibliotheken und Listen beschränkt werden. Darüber hinaus können Sie möglicherweise die Überwachung dieser berechtigten Nutzer erhöhen, Sicherheitswarnungen zu kleineren Anomalien im Zusammenhang mit ihrer Anmeldeaktivität ausgeben oder nutzerdefinierte Regeln erstellen, die eine Anmeldewarnung sowie SharePoint-Zugriff erfordern.

CVEs