Il punto di vista di Akamai sulla Patch Tuesday di settembre
È stata pubblicata la Patch Tuesday di Microsoft ha rilasciatol'Akamai Security Intelligence Group ha deciso di esaminare le vulnerabilità più interessanti per cui sono state rilasciate le patch. In questo rapporto, cercheremo di valutare quanto siano davvero critiche le vulnerabilità e quanto siano comuni le applicazioni e i servizi interessati e forniremo il nostro punto di vista sui bug che sono stati corretti. Date un'occhiata a queste informazioni il giovedì successivo alla pubblicazione della Patch Tuesday.
Questo è un rapporto di aggiornamento e aggiungeremo ulteriori informazioni man mano che la nostra ricerca avanza: restate sintonizzati!
In questo rapporto, ci concentreremo sulle aree in cui i bug sono stati corretti:
Per ogni servizio interessato, cercheremo di fornire consigli riguardo il monitoraggio e la mitigazione laddove non sia possibile applicare le patch, citando i suggerimenti di Microsoft o offrendo soluzioni alternative, frutto della nostra esperienza. Naturalmente, nessuna mitigazione è efficace quanto l'applicazione di patch, quindi applicate le patch ai vostri sistemi per quanto possibile per mantenerli sempre aggiornati.
Vulnerabilità di IPSec
IPSec è una suite di protocolli di rete protetti utilizzati per la crittografia e l'autenticazione dei pacchetti di dati scambiati tra computer su una rete IP. I protocolli IPSec vengono utilizzati principalmente nelle VPN.
In questa Patch Tuesday, sono state introdotte tre vulnerabilità di esecuzione di codice remoto (RCE) critiche in due protocolli principali di IPSec: IKEv1 e IPv6.
Le vulnerabilità sono presenti nel flusso di codici responsabile dell'elaborazione e dell'analisi dei pacchetti in entrata. Per questo motivo, e per il fatto che possono essere attivate da remoto da un malintenzionato non autenticato, sono tutte classificati come critiche e con punteggio CVSS di 9,8.
Estensioni del protocollo Internet Key Exchange di Windows
IKE (Internet Key Exchange) è uno dei protocolli più comuni utilizzati per la negoziazione delle chiavi di crittografia.
Ambito
I sistemi con IPSec attivato e che utilizzano IKEv1 sono vulnerabili. I server Windows sono vulnerabili in quanto utilizzano sia IKEv1 che IKEv2.
Consigli generali
Per le organizzazioni, è consigliabile disattivare IPSec se non è in uso.
CVE
Le vulnerabilità IKE sono state rilevate da Yuki Chen di Kunlun Lab. Queste vulnerabilità sembrano essere causate da overflow di intero o da underflow nelle funzioni IkeQueueRecvRequest, IkeDecryptOakNDPackete IkeDecryptOakPacket, che possono determinare una scrittura fuori banda (OOB). Le vulnerabilità non richiedono l'invio di più richieste da parte dell'autore dell'attacco, rendendo il loro sfruttamento più fattibile.
Numero CVE |
Effetto |
Accesso richiesto |
Esecuzione di codice remoto (RCE) |
Rete |
|
IPv6
Ambito
I sistemi con i protocolli IPSec e IPv6 attivati sono vulnerabili a questo bug.
Consigli generali
Per le organizzazioni, è consigliabile disattivare IPSec se non è in uso.
CVE
Numero CVE |
Effetto |
Accesso richiesto |
Esecuzione di codice remoto (RCE) |
Rete |
Vulnerabilità di Microsoft Dynamics CRM
Microsoft Dynamics CRM è parte di Microsoft Dynamics 365. Sebbene in genere venga offerta come servizio basato su cloud, la patch di questo mese è rivolta alle installazioni on-premise dell'applicazione. Entrambi le vulnerabilità sono considerate critiche, con un punteggio CVSS di 8,8 e sono state scoperte da Fabian Schmidt.
Ambito
È necessario implementare Microsoft Dynamics CRM affinché possa essere utilizzato. Non viene fornito per impostazione predefinita. Dato che l'elenco delle porte è piuttosto generico, un buon metodo per verificare la sua presenza è effettuare una ricerca con chiave di registro "HKLM\SOFTWARE\Microsoft\MSCRM". Negli ambienti da noi monitorati, questo prodotto è raro fino al punto di inesistenza.
Consigli generali
Sebbene l'applicazione delle patch dovrebbe avere priorità assoluta, laddove non possa essere eseguita immediatamente, a nostro parere dovrebbe essere possibile ridurre il vettore di attacco utilizzando la segmentazione. La segmentazione può essere eseguita su due livelli:
Isolamento: è possibile limitare l'ambito delle workstation che possono accedere ai server CRM, esclusivamente ai dipendenti che devono accedere al sistema (di solito personale IT e servizio clienti).
Inoltre, se i server CRM eseguono esclusivamente il CRM, è anche possibile limitare la comunicazione di rete all'elenco delle porte richiesto per il CRM, in base alla documentazione Microsoft.
Segmentazione basata sull'utente: poiché l'attacco richiede l'autenticazione dell'utente, dovrebbe essere anche un buon vettore di mitigazione.
CVE
Numero CVE |
Effetto |
Accesso richiesto |
SQLi che porta all'esecuzione dei comandi |
Accesso alla rete con utente autenticato |
|
Vulnerabilità di OLE DB e ODBC
OLE DB e ODBC sono entrambe API specifiche progettate per astrarre la connessione tra un utente dati e un'origine dati. Mentre ODBC è precedente e procedurale, OLE DB è più recente, viene implementato utilizzando il modello COM (Component Object Model) e supporta anche database non relazionali.
Ben undici vulnerabilità RCE sono state rilevate dal ricercatore Haifei Li, tutte contrassegnate come importanti e con un punteggio CVSS di 8,8; è probabile che Haifei Li abbia compiuto molti sforzi per sfruttare i meccanismi utilizzati per la connettività DB su Windows. Sei di queste vulnerabilità si trovano nel provider OLE DB per server SQL, mentre le altre cinque sono nel driver ODBC.
Vulnerabilità di OLE DB
Le sei vulnerabilità di OLE DB hanno esattamente la stessa descrizione del flusso di attacco disponibile nelle sezioni delle domande frequenti. La descrizione contiene un errore (di cui abbiamo informato Microsoft Security Response Center) che indica che un server controllato da un utente malintenzionato riceve un pacchetto dannoso anziché inviarne uno. Il testo corretto è il seguente:
L'autore dell'attacco può sfruttare la vulnerabilità inducendo un utente autenticato a tentare di connettersi a un server SQL dannoso tramite OLE DB, azione che potrebbe causare l'invio di un pacchetto di rete dannoso da parte del server. In questo modo l'autore dell'attacco può eseguire un codice remoto sul client.
L'autore dell'attacco deve eseguire un determinato trigger sul computer vittima che tenterà quindi di connettersi a un server remoto controllato dall'utente malintenzionato. Quest'ultimo invierà un pacchetto dannoso che porterà all'esecuzione del codice sul sistema client.
Ambito
Le librerie responsabili dell'implementazione delle specifiche di OLE DB sono disponibili su tutti i sistemi Windows. Pertanto, l'utilizzo non richiede l'installazione di alcuna applicazione, servizio o ruolo del server su una macchina affinché diventi vulnerabile.
Consigli generali
Lo sfruttamento delle vulnerabilità di OLE DB può essere evitato utilizzando la segmentazione. Disporre di un elenco di elementi consentiti garantirà all'organizzazione che non vengano stabilite connessione a server esterni o sconosciuti, prevenendo la catena di attacchi descritta in precedenza.
CVE
Numero CVE |
Effetto |
Accesso richiesto |
Esecuzione di codice remoto nel provider OLE DB |
Rete, ma richiede un'interazione utente autenticata |
|
Vulnerabilità di ODBC
Lo scenario di attacco (per tutte e cinque le vulnerabilità) prevede di indurre un utente autenticato ad aprire un file dannoso in Microsoft Access, un'applicazione DBMS (Database Management System) che è parte della suite Microsoft 365. Il file dannoso deve essere aperto tramite ODBC che, di conseguenza, attiverà il codice vulnerabile nel driver ODBC e porterà all'esecuzione di codice arbitrario sul computer della vittima con lo stesso livello di autorizzazione del processo di Access.
Il file dannoso deve essere in formato MDB, che specifica la struttura e le voci di un database e (opzionalmente) i moduli di immissione dati, le query, le stored procedure e così via. Il formato del file MDB è relativamente vecchio e il suo successore in Access 2007 (file .accdb ) offre caratteristiche e funzionalità aggiuntive.
Ambito
Secondo varie risorse, 135.000 organizzazioni utilizzano l'applicazione Microsoft Access come soluzione DBMS. Degli ambienti che monitoriamo, il 27% dei data center ha l'applicazione Microsoft Access installata su alcuni computer di rete.
CVE
Numero CVE |
Effetto |
Accesso richiesto |
Esecuzione di codice remoto nel driver ODBC |
Rete, ma richiede un'interazione utente autenticata |
|
CVE
Numero CVE |
Effetto |
Accesso richiesto |
Esecuzione di codice remoto (RCE) |
Accesso alla rete con un utente autenticato con autorizzazioni per la gestione di elenchi. |
|
Accesso alla rete con un utente autenticato con autorizzazioni per la creazione di pagine |
Vulnerabilità del runtime RPC (Remote Procedure Call)
Il runtime RPC(Remote Procedure Call) viene utilizzato per garantire l'efficienza delle comunicazioni tra i processi. Si basa su un modello client-server standard ed è uno dei protocolli attualmente più utilizzati in Windows. Microsoft utilizza RPC come parte di molti servizi Windows.
La vulnerabilità consente a un utente malintenzionato di accedere alle funzionalità di portmap.sys, un servizio che esegue la mappatura di un programma RPC Open Network Computing a un indirizzo di rete.
Ambito
La vulnerabilità è presente solo nei server Windows.
CVE
Numero CVE |
Effetto |
Accesso richiesto |
Esecuzione di codice remoto (RCE) |
Rete |
Vulnerabilità di Windows Kerberos
Kerberos è la colonna portante dell'architettura del dominio Windows. È il meccanismo di autenticazione predefinito che ha sostituito New Technology LAN Manager. Le vulnerabilità in questo caso sono due, entrambe rilevate da James Forshaw. Le due vulnerabilità si incentrano sul downgrade della crittografia e sono contrassegnate con un punteggio CVSS di 8,1. Modificando la connessione tra la vittima e il domain controller di dominio affinché venga utilizzata la crittografia RC4-MD4 più debole, l'utente malintenzionato potrebbe decifrare la chiave di sessione Kerberos della vittima per elevare i privilegi.
Ambito
Kerberos è parte integrante di tutte le architetture di dominio Windows.
Consigli generali
Secondo Microsoft, la blindatura Kerberos può proteggere dalle due vulnerabilità. Fate riferimento a questa pagina per ulteriori informazioni Chi ha scoperto le vulnerabilità, James Forshaw, sostiene che l'attivazione della blindatura Kerberos da sola non è sufficiente e che il KDC deve applicare questo requisito, non solo supportarlo.
Inoltre, uno dei requisiti per il funzionamento delle vulnerabilità è un attacco di impersonificazione (sebbene Forshaw affermi che non sia necessariamente il caso di CVE-2022-33679), in modo che l'autore dell'attacco si frapponga tra la vittima e il domain controller. Gli attacchi di impersonificazione sono vettori di attacco comuni e possono essere piuttosto "evidenti". Pertanto, l'utilizzo di soluzioni IDS o IPS o la ricerca attiva delle minacce, può contribuire ad alleviare parte del rischio.
CVE
Numero CVE |
Effetto |
Accesso richiesto |
Mitigazione oltre all'applicazione di patch |
Elevazione dei privilegi, fino a SISTEMA |
Rete, con impersonificazione tra vittima e domain controller |
||
Rete |
Attivazione della pre-autenticazione Kerberos senza chiave RC4 |
Questa analisi intende fornire una panoramica delle nostre conoscenze attuali e offrire suggerimenti sulla base delle informazioni disponibili. La nostra revisione è continua e tutte le informazioni contenute in questa analisi sono soggette a modifiche.