Il punto di vista di Akamai sulla Patch Tuesday di ottobre 2022
È stata pubblicata la Patch Tuesday di Microsoft di ottobre 2022 el'Akamai Security Intelligence Group ha deciso di esaminare le vulnerabilità più interessanti per cui sono state rilasciate le patch. In questo rapporto, cercheremo di valutare quanto siano davvero critiche le vulnerabilità e quanto siano comuni le applicazioni e i servizi interessati e forniremo il nostro punto di vista sui bug che sono stati corretti. Date un'occhiata a queste informazioni i giorni successivi alla pubblicazione della Patch Tuesday.
Questo è un rapporto di aggiornamento e aggiungeremo ulteriori informazioni man mano che la nostra ricerca avanza: restate sintonizzati!
In questo rapporto, ci concentreremo sulle aree in cui i bug sono stati corretti:
In un post del blog separato, abbiamo trattato due vulnerabilità individuate dal nostro team e corrette questo mese. Le due vulnerabilità, una nel servizio Server e l'altra nel servizio Workstation, sono correlate al caching del callback di sicurezza MS-RPC, un meccanismo che spieghiamo nel dettaglio nel post precedente. Le vulnerabilità sono state individuate come parte del costante impegno del nostro team su MS-RPC. Se desiderate saperne di più su queste specifiche vulnerabilità, inclusi gli strumenti per l'automazione e altri materiali di condivisione delle conoscenze, potete visitare il nostro nuovo archivio Github MS-RPC, lanciato all'inizio di questa settimana.
Per ogni servizio interessato che tratteremo in questo rapporto, cercheremo di fornire consigli riguardo il monitoraggio e la mitigazione laddove non sia possibile applicare le patch, citando i suggerimenti di Microsoft o offrendo soluzioni alternative, frutto della nostra esperienza. Naturalmente, nessuna mitigazione è efficace quanto l'applicazione di patch, quindi applicate le patch ai vostri sistemi per quanto possibile per mantenerli sempre aggiornati.
Azure Arc-Enabled Kubernetes Cluster Connect
Azure Arc consente ai clienti di connettere l'infrastruttura on-premise ad Azure per una facile gestione. In questo modo, i clienti possono gestire i loro ambienti (macchine virtuali, cluster Kubernetes, database, server e molto altro) usando un unico gestore di risorse, vale a dire Azure Resource Manager. Azure Arc-enabled Kubernetes consente all'utente di associare e configurare Kubernetes indipendentemente da dove viene eseguito, che sia in un ambiente cloud oppure on-premise, e lo presenta in Azure Resource Manager.
Questo mese si è verificata una vulnerabilità critica dell'elevazione dei privilegi con un punteggio CVSS di 10 nella funzione Azure Arc-Enabled Kubernetes Cluster Connect. Cluster Connect è la funzione che consente al cliente di connettere facilmente il cluster Kubernetes ai servizi Azure Arc eseguendo un agente proxy inverso sul cluster. Consente, inoltre, all'utente di connettersi all'apiserver del proprio cluster senza abilitare nessuna porta in entrata sul firewall. Crediamo che sia uno dei fattori che ha fatto guadagnare al CVE il punteggio massimo, dal momento che tutti possono accedervi da Internet.
Secondo Microsoft, per poter sfruttare questa vulnerabilità, un utente malintenzionato deve conoscere l'endpoint DNS esterno generato in modo casuale del cluster e deve avere accesso a Internet. In caso di sfruttamento riuscito, la funzione Cluster Connect consentirà a un utente non autenticato di elevare i suoi privilegi ad amministratore cluster, il che può garantirgli il controllo sul cluster Kubernetes. Anche Azure Stack Edge è vulnerabile a questo CVE quando è connesso a un Azure Arc vulnerabile, dal momento che consente ai clienti di distribuire carichi di lavoro Kubernetes sui loro dispositivi tramite Azure Arc.
Consigli generali
Dal momento che la funzione Azure Arc-enabled Kubernetes Cluster Connect comunica tramite la porta TCP 443, la segmentazione di questa porta non è banale. Tuttavia, la buona notizia è che, se si usa Azure Arc, il suo aggiornamento automatico è abilitato per impostazione predefinita, perciò la protezione dovrebbe essere garantita. In caso di dubbi sul fatto di essere protetti o meno, è possibile verificare qui per vedere se l'aggiornamento automatico è abilitato. In caso contrario, usare questo manuale per aggiornare il proprio agente.
CVE
Numero CVE |
Effetto |
Accesso richiesto |
Elevazione dei privilegi |
Accesso a Internet al cluster vulnerabile. Nessuna autenticazione utente richiesta. |
Microsoft CryptoAPI
Microsoft CryptoAPI è il modo proprietario di Microsoft per gestire le connessioni sicure e la verifica della firma del codice. Uno dei ruoli più significativi di CryptoAPI è la gestione dei certificati.
Microsoft ha risolto un problema con la libreria CryptoAPI il 22 con la Patch Tuesday di agosto. Questo problema era stato segnalato dallo U.K. National Cyber Security Centre e dalla U.S. National Security Agency e la notifica era stata pubblicata a ottobre.
Crediamo che il cambiamento più importante si sia verificato in crypt32.dll, in cui è cambiata la funzione CreateChainContextFromPathGraph . Presumiamo che la vulnerabilità sia correlata a questi cambiamenti.
CreateChainContextFromPathGraph viene richiamato da CertGetCertificateChain, ossia una chiamata API ben documentata che viene eseguita ogni volta che viene effettuata una connessione sicura al fine di creare un contesto di catene di certificati. Al momento, sospettiamo che la vulnerabilità risieda in una verifica mancante all'interno della funzione.
Se riesce, un utente malintenzionato può eseguire lo spoofing dell'identità e spacciarsi per un partner legittimo in una connessione sicura. Per effettuare questa operazione, deve eseguire, probabilmente, un attacco machine-in-the-middle. Inoltre, sappiamo dalle note alla patch che l'utente malintenzionato non ha bisogno di autenticarsi per poter sfruttare questa vulnerabilità. Può anche manipolare il certificato X509 per bypassare la protezione tramite firma del codice.
Consigli generali
Microsoft evidenzia che la vulnerabilità può essere sfruttata da remoto e senza la necessità di autenticazione. Dal momento che Microsoft CryptoAPI è ampiamente usato in Windows ed è presente su ogni endpoint Windows, raccomandiamo di installare la patch. Vale anche la pena notare che a questa vulnerabilità è stata applicata la Patch Tuesday di agosto. Pertanto, le macchine che contengono gli aggiornamenti da agosto in poi sono protette da questa vulnerabilità.
CVE
Numero CVE |
Effetto |
Accesso richiesto |
Spoofing |
Rete |
Windows Point-to-Point Tunneling Protocol
Il PPP (Point-to-Point Protocol) è integrato nel server di accesso remoto (RAS) e fornisce funzionalità di framing e autenticazione per le connessioni remote.
A sette vulnerabilità è stata applicata una patch in PPP questo mese, e sono tutte vulnerabilità RCE (Remote Code Execution) con un punteggio CVSS di 8,1. Lo scorso agosto, lo stesso ricercatore, Yuki Chen , ha scoperto due vulnerabilità nello stesso protocollo con un punteggio CVSS di 9,8.
Secondo gli avvisi di Microsoft, un utente malintenzionato remoto non autenticato potrebbe ottenere l'esecuzione di codice su un server PPTP (Point-to-Point Tunneling Protocol ) inviando un pacchetto PPTP dannoso. Tuttavia, si ritiene improbabile lo sfruttamento di tutte e sette le vulnerabilità a causa della complessità dell'attacco, poiché richiede il raggiungimento di una race condition, che non è deterministica e può richiedere molto tempo.
Quanto è rilevante il PPTP? Tra tutti i server Windows che abbiamo esaminato nei nostri ambienti monitorati, il 40% dei server riceve connessioni sulla porta 1723, che è la porta standard per il PPTP. Per quanto concerne i server esposti a Internet, Shodan segnala 3,3 milioni di server in ascolto sulla porta 1723; tuttavia, quasi nessuno viene eseguito su Windows.
Dov'è il bug? Sospettiamo che la vulnerabilità risieda in raspptp.sys, ossia il driver che implementa il PPTP.
Consigli generali
Microsoft evidenzia che la vulnerabilità può essere sfruttata solo comunicando sulla porta 1723. Pertanto, oltre tramite l'applicazione delle patch, lo sfruttamento può essere evitato segmentando i server RAS nella rete e bloccando le connessioni su questa porta. Tuttavia, si deve notare che il blocco di questa porta può interrompere la regolare comunicazione.
CVE
Numero CVE |
Effetto |
Accesso richiesto |
CVE-2022-38047 |
RCE |
Rete |
CVE-2022-24504 |
||
CVE-2022-38000 |
||
CVE-2022-22035 |
||
CVE-2022-30198 |
||
CVE-2022-33634 |
||
CVE-2022-41081 |
Microsoft Office
Microsoft Office è una suite di software client. La Patch Tuesday di ottobre ha risolto diverse importanti vulnerabilità nelle applicazioni Office. Tre di queste vulnerabilità potevano portare all'esecuzione di codice arbitrario se venivano sfruttate con successo da un utente malintenzionato. Un'altra vulnerabilità (CVE-2022-38001) è di tipo spoofing che, supponiamo, porta alla coercizione dell'autenticazione. Dal momento che Microsoft descrive i problemi come non attivabili dal pannello Anteprima , presumiamo che queste vulnerabilità siano collegate alle macro, in quanto queste richiedono l'interazione dell'utente prima che vengano visualizzate/eseguite.
Consigli generali
Le vulnerabilità sono correlate alla suite di applicazioni Microsoft Office e non a Office 365. Pertanto, i clienti che utilizzano Microsoft Office dovrebbero aggiornare le loro macchine. Dal momento che le varie applicazioni di Microsoft Office espongono un'ampia superficie di attacco, e presentano vulnerabilità ricorrenti, consigliamo di usare Application Guard for Office, se possibile. Application Guard creerà una sandbox del processo che apre gli allegati e, quindi, eviterà i danni alla macchina host in caso di sfruttamento riuscito.
CVE
Numero CVE |
Effetto |
Accesso richiesto |
Esecuzione di codice arbitrario |
Locale/Remoto. La vulnerabilità richiede l'interazione dell'utente (ad esempio l'apertura di un documento, l'autorizzazione delle macro). |
|
Spoofing |
Active Directory Certificate Services
AD DS (Active Directory Domain Services) è uno dei componenti principali di Active Directory. I server che eseguono questo ruolo sono i controller di dominio del dominio Windows.
Analisi dell'ambito
È presente almeno un server Windows che esegue AD DS in ogni rete del dominio Windows: il controller di dominio.
La vulnerabilità di questo mese è in realtà in AD CS (Active Directory Certificate Services), che non è disponibile per impostazione predefinita; richiede un'installazione di ruolo aggiuntiva. Nei nostri server Windows monitorati negli ambienti dei clienti, possiamo osservare che il 66% delle nostre reti monitorate dispone di un server con il ruolo AD CS.
È noto che l'AD CS subisce violazioni da parte degli autori di attacchi, con l'esempio recente più noto di PetitPotam, in cui è stato utilizzato nel flusso di attacco come bersaglio per l'inoltro NTLM (utilizzando un' eccellente ricerca di SpecterOps).
Consigli generali
Dal momento che i server AD CS sono pochi e rari, dovrebbe essere possibile usare la segmentazione della rete per limitare o avere visibilità nelle connessioni anomale. Dal momento che l'autenticazione AD CS si verifica su RPC, potrebbe essere difficile da rilevare solo con i metadati della connessione (considerando che si verifica su una porta effimera casuale), che è quanto viene fornito dalla maggior parte delle soluzioni di segmentazione. In questo caso, dovrebbe comunque essere possibile segmentare le connessioni RPC in uscita dai server Windows (usando la porta del mapper degli endoint RPC 135), soprattutto verso computer desktop che dovrebbero ricevere connessioni RPC.
Analisi CVE
Con CVE-2022-37976, l'attacco non è necessariamente diretto ai server AD CS, ma piuttosto fa affidamento su di essi come unico requisito. L'attacco è piuttosto una coercizione dell'autenticazione sui server DCOM. Secondo Microsoft, un client dannoso può usare la vulnerabilità per fare in modo che il server DCOM si autentichi sul client usando AD CS e inoltri tale autenticazione per raggiungere, infine, un token di amministrazione di dominio.
D'altro canto, CVE-2022-37978 riguarda l'autenticazione NTLM. Dal momento che le domande frequenti sulle vulnerabilità specificano che l'attacco richiede una tecnica chiamata Machine-In-The-Middle (MITM) ed è correlato all'autenticazione NTLM, crediamo che questa vulnerabilità si possa risolvere bypassando le mitigazioni dell'inoltro NTLM esistenti sui server AD CS.
Numero CVE |
Effetto |
Accesso richiesto |
Un utente malintenzionato può ottenere privilegi di amministratori di dominio obbligando l'autenticazione con AD CS da un server DCOM ed effettuando un attacco ai protocolli incrociato. |
Rete |
|
Un utente malintenzionato che usa un attacco MITM può bypassare una funzione di sicurezza intorno all'autenticazione NTLM |
Questa analisi intende fornire una panoramica delle nostre conoscenze attuali e offrire suggerimenti sulla base delle informazioni disponibili. La nostra revisione è continua e tutte le informazioni contenute in questa analisi sono soggette a modifiche.