Il punto di vista di Akamai sulla Patch Tuesday di dicembre 2022
È stata pubblicata la Patch Tuesday di Microsoft di dicembre 2022 ha rilasciatol'Akamai Security Intelligence Group ha deciso di esaminare le vulnerabilità più interessanti per cui sono state rilasciate le patch. Sembra che il Natale sia arrivato in anticipo quest'anno, poiché l'aggiornamento di dicembre è molto più snello rispetto ai mesi precedenti, quindi forse possiamo preoccuparci po' meno prima delle vacanze, , almeno fino a quando non si presenterà il prossimo successore di Log4Shell (abbiamo già un bell'avversario , quindiaffrettatevi ad applicare le patch!).
In questo rapporto, valuteremo quanto siano davvero critiche le vulnerabilità e quanto siano comuni le applicazioni e i servizi interessati e forniremo un punto di vista realistico sui bug che sono stati corretti. Date un'occhiata a queste informazioni i giorni successivi alla pubblicazione della Patch Tuesday.
Questo è un rapporto di aggiornamento e aggiungeremo ulteriori informazioni man mano che la nostra ricerca avanza: restate sintonizzati!
In questo rapporto, ci concentreremo sulle aree in cui i bug sono stati corretti:
Per ogni servizio interessato che tratteremo in questo rapporto, cercheremo di fornire consigli riguardo il monitoraggio e la mitigazione laddove non sia possibile applicare le patch. Naturalmente, nessuna mitigazione è efficace quanto l'applicazione di patch, quindi applicate le patch ai vostri sistemi per quanto possibile per mantenerli sempre aggiornati.
Windows PowerShell
Windows PowerShell è uno strumento utile per l'amministrazione e la gestione del sistema, nonché per l'automazione. È disponibile per impostazione predefinita con la maggior parte delle versioni di Windows. Questo mese è stata corretta la vulnerabilità critica CVE-2022-41076, che ha ricevuto un punteggio CVSS di 8,5. Questa vulnerabilità CVE, in realtà, si riferisce a PowerShell Remote. PowerShell supporta i comandi remoti tramite il protocollo WinRM, ma non è abilitato per impostazione predefinita. I server devono abilitare PSRemoting prima di poter effettuare tale accesso o comunicazione. Uno sfruttamento riuscito della vulnerabilità CVE consente a un autore di attacchi autenticato di eludere la configurazione della sessione PSRemote ed eseguire comandi non approvati.
Ambito
Poiché la comunicazione remota di PowerShell viene trasferita su WinRM, è possibile valutare l'ambito del suo utilizzo cercando le connessioni WinRM. Nei nostri ambienti monitorati, il 77% degli ambienti monitorati includeva almeno un computer con WinRM abilitatoe, in quelle reti, in media il 27% dei computer accettava connessioni WinRM. Erano presenti alcune reti senza WinRM e alcune con oltre il 95% di computer con WinRM abilitato.
Consigli generali
La prima e più importante raccomandazione è sempre quella di applicare le patch a tutti i sistemi. Nel caso in cui non sia possibile applicare immediatamente le patch, possiamo fare affidamento su alcuni aspetti di PowerShell Remote per mitigare alcuni dei rischi:
PowerShell Remote e WinRM non sono abilitati per impostazione predefinita. Pertanto, solo i computer su cui sono abilitati sono a rischio. È possibile verificare se WinRM è abilitato controllando se il servizio WinRM è in esecuzione o tramite il comando PowerShell Test-WSMan. Inoltre, se si dispone della visibilità della rete, è possibile cercare la comunicazione sulle porte TCP 5985 e 5986, le porte WinRM predefinite.
Per i computer con WinRM abilitato, è possibile utilizzare la microsegmentazione per limitare l'accesso solo alle origini necessarie (ad esempio, solo personale o servizi IT). Ad esempio tramite le porte TCP 5985 e 5986, le porte WinRM predefinite Per determinare a chi o cosa si deve consentire l'accesso, si consiglia di utilizzare uno strumento di visibilità della rete o uno sniffer di rete per visualizzare i modelli di comunicazione esistenti.
Se individuate computer con WinRM abilitato che non stabiliscono alcuna connessione o ritenete che WinRm non debba essere abilitato, potete disabilitarlo.
Utilizzando la visibilità, la segmentazione e disabilitando l'utilizzo non necessario del servizio, è possibile ridurre notevolmente l'impatto della vulnerabilità CVE finché non si trova il tempo di applicare le patch al sistema.
Sottosistema di runtime client/server Windows
Il sottosistema di runtime client/server Windows (CSRSS, Client/Server Run-Time Subsystem) è un processo di sistema responsabile di una varietà di funzioni su un computer Windows. Queste includono la creazione e l'eliminazione di processi e thread e la fornitura di supporto per le applicazioni della console.
Il processo csrss.exe è così essenziale che viene avviato su ogni computer Windows all'avvio del sistema e non può essere terminato. L'interruzione di questo processo provocherebbe il temuto "Blue Screen of Death" (arresto del sistema).
Questo mese, una vulnerabilità CVE di elevazione dei privilegi è stata corretta in CSRSS e si tratta della vulnerabilità CVE-2022-44673, con un punteggio CVSS di 7, che è stata classificata come importante. Secondo il rapporto di Microsoft, un malintenzionato che sfrutta con successo questa vulnerabilità riesce ad ottenere i privilegi di sistema.
Sebbene la complessità dell'attacco sia considerata elevata, Microsoft menziona anche nel rapporto che lo sfruttamento è più probabile, pertanto, poiché CSRSS viene eseguito su tutti i computer Windows, consigliamo vivamente di applicare le patch.
Microsoft Office
Non c'è Natale senza regali e questo mese le CVE di Microsoft Office sono in tema natalizio. Sono state individuate 10 vulnerabilità, tutte con un punteggio CVSS di 7,8, con una gravità importante. Le vulnerabilità sono distribuite su tre prodotti/componenti: Visio, OneNote e Microsoft Office Graphics.
Il vettore di attacco
Sebbene tutte le CVE siano definite come legate all'esecuzione di codice remoto, sono in realtà vulnerabilità correlate all'esecuzione di codice arbitrario (ACE). Ciò significa che un malintenzionato non può sfruttare le vulnerabilità da solo, ma deve invece indurre l'utente a sfruttarle tramite il social engineering. Uno sfruttamento riuscito di questa vulnerabilità richiede di indurre l'utente/vittima a scaricare un file appositamente predisposto e quindi ad aprirlo nel rispettivo software vulnerabile.
Mantenere gli utenti finali vigili contro i tentativi di social engineering può aiutare a ridurre il rischio che uno sfruttamento abbia esito positivo. Assicuratevi che gli utenti finali capiscano come difendersi dalle truffe natalizie, altrimenti al rientro dalle vacanze, potreste trovare proverbiali criticità nella vostra rete. Inoltre, poiché tali applicazioni di solito non risiedono sui server, potrebbe essere più semplice applicare patch agli endpoint degli utenti, poiché il downtime degli utenti è in genere meno costoso rispetto al downtime del server.
CVE
Numero CVE |
Componente |
|---|---|
Microsoft Office Graphics |
|
Microsoft Office Visio |
|
Microsoft Office OneNote |
Servizi descritti in precedenza
Molte CVE presenti nel Patch Tuesday di questo mese riguardano sistemi che abbiamo già esaminato in passato e non abbiamo nulla di nuovo da dire su come mitigarle. Se siete interessati alla nostra analisi o alle raccomandazioni generali per tali servizi, vi invitiamo a consultare i nostri post precedenti.
Servizio |
Numero CVE |
Effetto |
Accesso richiesto |
|---|---|---|---|
Esecuzione di codice remoto (RCE) |
Autenticato con autorizzazioni per la gestione di elenchi |
||
Esecuzione di codice remoto (RCE) |
Rete |
||
Esecuzione di codice remoto (RCE) |
Connessione autenticata tramite WCF TCP |
Questa analisi intende fornire una panoramica delle nostre conoscenze attuali e offrire suggerimenti sulla base delle informazioni disponibili. La nostra revisione è continua e tutte le informazioni contenute in questa analisi sono soggette a modifiche.
