Il punto di vista di Akamai sulla Patch Tuesday di novembre
È stata pubblicata la Patch Tuesday di Microsoft di novembre 2022 ha rilasciatol'Akamai Security Intelligence Group ha deciso di esaminare le vulnerabilità più interessanti per cui sono state rilasciate le patch. In questo rapporto, cercheremo di valutare quanto siano davvero critiche le vulnerabilità e quanto siano comuni le applicazioni e i servizi interessati e forniremo il nostro punto di vista sui bug che sono stati corretti. Date un'occhiata a queste informazioni i giorni successivi alla pubblicazione della Patch Tuesday.
Questo è un rapporto di aggiornamento e aggiungeremo ulteriori informazioni man mano che la nostra ricerca avanza: restate sintonizzati!
In questo rapporto, ci concentreremo sulle aree in cui i bug sono stati corretti:
Per ogni servizio interessato che tratteremo in questo rapporto, cercheremo di fornire consigli riguardo il monitoraggio e la mitigazione laddove non sia possibile applicare le patch. Naturalmente, nessuna mitigazione è efficace quanto l'applicazione di patch, quindi applicate le patch ai vostri sistemi per quanto possibile per mantenerli sempre aggiornati.
Avviso: alcuni utenti hanno segnalato la presenza di problemi di connettività ai controller di dominio dopo l'applicazione della patch di novembre. Pensiamo che potrebbero essere correlati alla correzione per CVE-2022-37966, che modifica i valori di crittografia predefiniti (ne parleremo più avanti). Potrebbero anche essere correlati ad altre patch in Kerberos e Netlogon.
Linguaggi di script di Windows
I linguaggi di script di Windows possono fare riferimento a più implementazioni di linguaggi di script all'interno di Windows, come VBScript, JavaScript o altri. In questa versione, Microsoft ha corretto due motori di script, JScript e Chakra.
JScript è l'implementazione di Microsoft di ECMAScript, lo stesso standard alla base di JavaScript e utilizzato da Internet Explorer. Anche Chakra è un motore JavaScript, derivato da JScript, ed è utilizzato da Microsoft Edge Legacy (le versioni più recenti di Edge sono basate su Chromium). Entrambi sono implementati come DLL, opportunamente denominati jscript9.dll e chakra.dll.
Questo aggiornamento corregge due vulnerabilità critiche relative all'esecuzione di codice in modalità remota che influiscono su questi motori di script.
La prima, CVE-2022-41128, influisce sul linguaggio di script JScript9 con un punteggio CVSS di 8,8 ed è etichettato come critico. Non solo la sua complessità di attacco è bassa, ma è stata anche sfruttata in rete. Per sfruttare con successo la vulnerabilità, un autore di attacchi dovrebbe ospitare una condivisione di server o un sito Web appositamente predisposto. Quindi, l'autore di attacchi dovrebbe convincere un utente con una versione interessata di Windows ad accedere al proprio server appositamente predisposto.
La seconda vulnerabilità è CVE-2022-41118, che influisce sia su JScript9 che su Chakra, con un punteggio CVSS di 7,5 e anche etichettata come critica. Questa volta la sua complessità di attacco è alta, perché richiede a un autore di attacchi di raggiungere una race condition. Il flusso di attacco e l'interazione dell'utente rimangono simili a CVE-2022-41128.
Consigli generali
I motori JScript e Chakra sono stati sviluppati per Internet Explorer e Edge Legacy. Esistono browser Web più moderni (oltre a un Edge basato su Chromium) e vi consigliamo di utilizzarne uno. Anche così, è importante notare che questi motori possono essere utilizzati anche da altri software, e quindi una patch sarebbe l'unico modo per proteggere il vostro computer da queste vulnerabilità.
CVE
Numero CVE |
Effetto |
Accesso richiesto |
Esecuzione di codice remoto (RCE) |
Rete |
|
Esecuzione di codice remoto (RCE) |
Rete |
Windows Kerberos
Kerberos è la colonna portante dell'architettura del dominio Windows. È il meccanismo di autenticazione predefinito che ha sostituito NTLM. Questa volta sono state risolte due vulnerabilità, entrambe possono essere utilizzate per l'elevazione dei privilegi e hanno un punteggio CVSS rispettivamente di 8.1 e 7,2.
Oltre alle patch, gli amministratori di sistema dovrebbero leggere entrambi gli articoli della Knowledge Base (KB5020805, KB5021131) che sono stati pubblicati da Microsoft per modifiche specifiche necessarie nel registro.
L'impatto
Un autore di attacchi che ha sfruttato con successo questa vulnerabilità potrebbe ottenere privilegi di amministratore.
Dov'è la vulnerabilità?
CVE-2022-37966
Prima di questa patch, la crittografia predefinita nella negoziazione Kerberos era RC4-MD5. RC4 è una crittografia basata sulla cifratura a flusso, ovvero il testo cifrato viene creato mediante XORing del testo non crittografato con un flusso cifrato. È considerata debole perché può essere facilmente violata offline con strumenti come John the Ripper. La vulnerabilità risiede in questa configurazione predefinita.
Quando un autore di attacchi negozia con un'Active Directory, può inviare una richiesta appositamente predisposta che utilizzerà l'autenticazione predefinita di Kerberos. Dopo una richiesta andata a buon fine, l'autore di attacchi potrebbe acquisire la chiave di sessione Kerberos e decifrarla per l'elevazione dei privilegi.
La configurazione predefinita per la negoziazione Kerberos verrà corretta tramite la chiave del registro ms-DS-SupportedEncryptionType, che verrà impostata sulla crittografia AES (0x27) per impostazione predefinita.
CVE-2022-37967
Questa vulnerabilità risiede nell'estensione PAC (Privilege Attribute Certificate) in Kerberos. Essenzialmente, PAC è un "contenitore" di informazioni per vari campi: UserId, GroupsIDs, AccountDomainId e altri. Le informazioni PAC vengono aggiunte ai ticket Kerberos da un controller di dominio.
Da quanto si evince dagli articoli della Knowledge Base pubblicati da Microsoft per CVE, riteniamo che la vulnerabilità possa essere sfruttata per aggirare la convalida della firma PAC che viene inviata al server. Ciò significa che le strutture PAC inviate con firme non valide o mancanti potrebbero ignorare il processo di convalida e provocare un'escalation dei privilegi.
Questa patch è la prima fase di un rilascio graduale per CVE-2022-37067. Include una correzione per CVE-2022-37967, ma è disabilitata per impostazione predefinita. Le fasi successive sono previste dal 13 dicembre 2022 al 10 ottobre 2023, che consentiranno rispettivamente il controllo e l'applicazione parziale.
Per CVE-2022-37967, la patch aggiungerà il valore 2 alla chiave di registro KrbtgtFullPacSignature. Questo valore abilita il controllo dei PAC nel sistema e gli amministratori di sistema possono utilizzarlo per monitorare le anomalie.
La chiave KrbtgtFullPacSignature includerà un'opzione per applicare o rifiutare firme PAC errate o mancanti per gestire questa vulnerabilità.
Ambito
Kerberos è parte integrante di tutte le architetture di dominio Windows.
CVE
Numero CVE |
Effetto |
Accesso richiesto |
Elevazione dei privilegi |
Rete |
|
Elevazione dei privilegi |
Rete |
Netlogon RPC
Il protocollo Netlogon Remote Protocolviene utilizzato per l'autenticazione di utenti e computer negli ambienti di dominio Windows, nonché per la sincronizzazione tra controller di dominio. Pertanto, è piuttosto importante nelle reti di dominio Windows, motivo per cui la vulnerabilità CVE-2022-38023 potrebbe avere un impatto sulla maggior parte degli ambienti.
L'impatto
Un autore di attacchi potrebbe ottenere privilegi amministrativi nel dominio abusando di questa vulnerabilità.
Dov'è la vulnerabilità?
In base agli articoli della Knowledge Base pubblicati da Microsoft per la vulnerabilità CVE, sembra che la vulnerabilità sia rilevante quando le connessioni Netlogon vengono effettuate con la firma RPC e non con il sigillo RPC. Nella firma RPC, i messaggi RPC vengono firmati solo dal mittente e il destinatario abbina il contenuto del messaggio alla firma per verificarne l'integrità. Il sigillo RPC, d'altra parte, crittografa l'intero messaggio..
Sulla base dei registri eventi pertinenti menzionati (ID evento 5838–5841 nel registro eventi di sistema), riteniamo che la vulnerabilità possa derivare da una gestione o verifica errata della firma, in particolare quando si tratta della crittografia RC4-HMAC.
Consigli generali
Questa patch è la prima fase di un rilascio graduale. Corregge la vulnerabilità CVE e introduce anche una nuova chiave di registro RequireSeal, che verrà utilizzata per applicare il sigillo RPC. Come parte della prima fase, la chiave del registro è impostata sulla modalità di compatibilità per impostazione predefinita , ma può essere disabilitata da un amministratore di dominio. La modalità di compatibilità permetterà ai controller di dominio di consentire connessioni vulnerabili da client di terze parti, ma applicherà il sigillo RPC su computer Windows e controller di dominio.
Le fasi successive, previste per l'11 aprile e l'11 luglio 2023, rimuoveranno rispettivamente l'opzione per disabilitare l'applicazione e quindi la modalità di compatibilità.
Si consiglia agli amministratori di dominio di non disabilitare la nuova imposizione dopo l'applicazione delle patch e di lavorare invece sull'aggiornamento dei client che utilizzano la firma RPC. Se non riuscite a risolvere questi problemi in modo tempestivo e dovete consentire la firma RPC, vi consigliamo di disabilitare almeno la firma md5 più debole utilizzando la chiave di registro preesistente RejectMD5Clients.
CVE
Numero CVE |
Effetto |
Accesso richiesto |
Elevazione dei privilegi |
Rete |
Servizi descritti in precedenza
Nella Patch Tuesday di questo mese, vengono trattati molti altri CVE, ma non saremo in grado di descriverli tutti. Alcune di queste vulnerabilità CVE sono concepite per servizi e funzionalità che abbiamo già trattato nelle precedenti analisi della Patch Tuesday. Se siete interessati alla nostra analisi o alle raccomandazioni generali relative a tali servizi, vi invitiamo a consultare i nostri post precedenti.
Servizio |
Numero CVE |
Effetto |
Accesso richiesto |
Esecuzione di codice remoto (RCE) |
Autenticato come membro del sito |
||
Spoofing |
Autenticato con autorizzazioni per la creazione della pagina |
||
Esecuzione di codice remoto (RCE) |
Rete |
||
DoS (Denial of Service) |
Rete |
||
Esecuzione di codice remoto (RCE) |
Utente che accede a un server dannoso |
||
Divulgazione delle informazioni |
Autenticato con credenziali di amministratore |
Questa analisi intende fornire una panoramica delle nostre conoscenze attuali e offrire suggerimenti sulla base delle informazioni disponibili. La nostra revisione è continua e tutte le informazioni contenute in questa analisi sono soggette a modifiche.
Per ulteriori ricerche sulla sicurezza, seguiteci su Twitter!