Il punto di vista di Akamai sulla Patch Tuesday di agosto
A cura del team addetto alla ricerca sulla sicurezza di Akamai
Poiché è stata pubblicata la Patch Tuesday di Microsoft di agosto, il team addetto alla ricerca sulla sicurezza di Akamai ha deciso di esaminare le vulnerabilità più interessanti per cui sono state rilasciate le patch. In questo rapporto, cercheremo di valutare quanto siano davvero critiche le vulnerabilità, quanto siano comuni le applicazioni e i servizi interessati e forniremo il nostro punto di vista sui bug che sono stati corretti. Date un'occhiata a queste informazioni ogni mercoledì dopo il Patch Tuesday.
Questo è un rapporto di aggiornamento e aggiungeremo ulteriori informazioni man mano che la nostra ricerca avanza: restate sintonizzati!
In questo rapporto, ci concentreremo su quattro aree in cui i bug sono stati corretti:
Windows PPP (Point-to-Point Protocol)
Windows SSTP (Security Socket Tunneling Protocol)
NFS (Network File System )
AD CS (Active Directory Certificate Services)
Microsoft Exchange Server
Per ogni servizio interessato che tratteremo, cercheremo di offrire consigli per il monitoraggio e la mitigazione quando l'applicazione di patch non è possibile, citando i consigli di Microsoft o offrendo soluzioni alternative, in base alla nostra esperienza. Naturalmente, nessuna mitigazione è efficace quanto l'applicazione di patch, quindi assicuratevi di applicare patch ai vostri sistemi ogni volta che è possibile e tenetevi aggiornati.
Vulnerabilità del server di accesso remoto
Questa Patch Tuesday ha presentato vulnerabilità critiche in due protocolli principali nel server di accesso remoto (RAS): il protocollo Point-to-Point e il protocollo Secure Socket Tunneling.
L'accesso remoto è un ruolo di Windows Server che consente ai client remoti di connettersi alla LAN, in modo simile a una VPN. Il ruolo del server deve essere aggiunto attivamente.
Windows Point-to-Point Protocol
Il PPP (Point-to-Point Protocol) è integrato nel RAS e fornisce funzionalità di framing e autenticazione per le connessioni remote.
Sono state rilevate quattro vulnerabilità in PPP: due vulnerabilità critiche relative all'esecuzione di codice in modalità remota con un punteggio CVSS di 9,8 e due vulnerabilità di tipo Denial of Service (punteggio 7,5 e 5,9). Secondo gli avvisi di Microsoft, un utente malintenzionato remoto non autenticato potrebbe ottenere l'esecuzione di codice su un server RAS inviando una richiesta di connessione creata.
Lo sfruttamento di tutte e quattro le vulnerabilità è ritenuto meno probabile, implicando che attivare le vulnerabilità o trarne vantaggio potrebbe essere difficile, o almeno non banale.
Quanto è rilevante il PPP? Tra tutti i server Windows che abbiamo esaminato nei nostri ambienti monitorati, il 40% dei server riceve connessioni sulla porta 1723, che è la porta standard per il protocollo di tunneling Point-to-Point.
Dov'è il bug?
Analisi CVE
| Numero CVE | Effetto | Accesso richiesto | Mitigazione oltre all'applicazione di patch |
|---|---|---|---|
| CVE-2022-35744 | Esecuzione di codice remoto | Rete | Disabilitazione della porta 1723 |
| CVE-2022-30133 | |||
| CVE-2022-35769 | DoS (Denial of Service) | - | |
| CVE-2022-35747 |
Windows Secure Socket Tunneling Protocol
Secondo Microsoft Developer Network, Windows SSTP (Secure Socket Tunneling Protocol) è un meccanismo per incapsulare il traffico PPP su HTTPS. In sostanza, questo protocollo consente agli utenti di accedere a una rete privata utilizzando HTTPS.
Sei vulnerabilità legate all'esecuzione di codice in remoto con un punteggio CVSS di 8,1 sono state corrette. Altri due bug di esecuzione di codice remoto, anch'essi con punteggi di 8,1, sono stati corretti: la nostra ipotesi è che sarebbero correlati al servizio SstpSvc. Una vulnerabilità di Denial of Service con un punteggio di 5,3 è stata corretta.
Dov'è il bug? Il servizio Windows che fornisce supporto per SSTP è SstpSvc, che eventualmente esegue sstpsvc.dll.
Consigli generali
Fatta eccezione per CVE-2022-34701, tutte le vulnerabilità implicano una race condition. Poiché gli attacchi che implicano race condition richiedono solitamente più tentativi (in un breve arco di tempo), è possibile che il traffico di rete aumenti, quindi il monitoraggio dei picchi e dei picchi di traffico potrebbe rivelare tentativi di attacco.
Analisi CVE
| Numero CVE | Effetto | Accesso richiesto | Mitigazione oltre all'applicazione di patch |
|---|---|---|---|
| CVE-2022-35766 | Un criminale non autenticato potrebbe riuscire ad eseguire codice remoto su un server RAS | Rete | |
| CVE-2022-34702 | |||
| CVE-2022-35745 | |||
| CVE-2022-35767 | |||
| CVE-2022-34714 | |||
| CVE-2022-35794 | |||
| CVE-2022-35769 | Un criminale non autenticato potrebbe riuscire ad eseguire codice remoto , probabilmente tramite il servizio SstpSvc | - | |
| CVE-2022-35747 | |||
| CVE-2022-34701 | DoS (Denial of Service) |
Network File System
NFS (Network File System) è un protocollo di rete sviluppato originariamente da Sun Microsystems per consentire l'accesso remoto ai file sulla rete. Ne esiste un'implementazione in Microsoft Windows ed è possibile aggiungere il ruolo NFS per trasformarlo in un server NFS.
Analisi dell'ambito
Per poter essere utilizzata, la funzionalità NFS deve essere aggiunta a un server e client Windows. È inclusa nel ruolo del server "Servizi di archiviazione e file" in Windows Server.
NFS utilizza comunemente le porte 111 (porta EpMapper di Sun RPC: le prime versioni di NFS sono implementate su Sun RPC) e 2049. Esaminando vari data center, abbiamo scoperto solo lo 0,1% potrebbe essere potenzialmente server NFSv4 e solo circa metà esegue Windows.
Riteniamo inoltre che il CVE di questo mese sia stato introdotto da uno degli ultimi aggiornamenti alla sicurezza, poiché la mitigazione di Microsoft (disabilitando NFS v4.1) avvisa che dovrebbe essere eseguita solo su server completamente con patch, il che implica che i server a cui non sono state applicate completamente patch potrebbero essere sicuri
Consigli generali
In genere, vi consigliamo di verificare se è possibile aggiornare il vostro server NFS per utilizzare NFS v4.1, poiché è la versione più sicura. La maggior parte delle vulnerabilità relative a NFS in questo PT riguardano versioni precedenti del protocollo. Questa volta, tuttavia, la vulnerabilità interessa solo NFS v4, quindi non possiamo consigliare un aggiornamento.
Consigliamo invece di applicare la segmentazione sui server NFS. Sarebbe necessario controllare e verificare se è possibile limitare (isolare) i client NFS a un gruppo più piccolo di server/workstation e limitare anche il traffico in uscita dal server NFS. Poiché si tratta di un server, le connessioni dovrebbero essere avviate per eventuali motivi. La segmentazione potrebbe limitare l'impatto di uno sfruttamento riuscito.
Analisi CVE
Numero CVE |
Effetto |
Accesso richiesto |
Mitigazione oltre all'applicazione di patch |
Un autore di attacchi può ottenere l'esecuzione di codice in remoto utilizzando chiamate non autenticate a NFS v4 |
Rete |
- Disabilitazione di NFSv4 - Rollback degli aggiornamenti alla sicurezza (mantenendo NFSv4 poiché la maggior parte dei CVE precedenti erano per versioni precedenti) |
Active Directory Certificate Services
AD DS (Active Directory Domain Services) è uno dei componenti principali di Active Directory. I server che eseguono questo ruolo sono i controller di dominio del dominio Windows.
Analisi dell'ambito
È presente almeno un server Windows che esegue AD DS in ogni rete del dominio Windows: il controller di dominio.
La vulnerabilità di questo mese è in realtà in AD CS (Active Directory Certificate Services), che non è disponibile per impostazione predefinita; richiede un'installazione di ruolo aggiuntiva. Nei nostri server Windows monitorati negli ambienti dei clienti, possiamo osservare che il 66% delle nostre reti monitorate dispone di un server con il ruolo AD CS.
È noto che l'AD CS subisce violazioni da parte degli autori di attacchi, con l'esempio recente più noto di PetitPotam, in cui è stato utilizzato nel flusso di attacco come bersaglio per l'inoltro NTLM (utilizzando un' eccellente ricerca di SpecterOps).
Consigli generali
Poiché il servizio AD CS deve essere installato solo su un numero selezionato di server (o anche su un singolo server) nella rete, che svolgono un ruolo fondamentale nell'architettura del dominio, si consiglia vivamente di applicare patch a tali server il prima possibile.
Se non è possibile, la patch di maggio ha introdotto ulteriori registri eventi di Windows (a seguito di altri CVE simili) che dovreste monitorare in caso di attività irregolari. Consultate KB5014754 per ulteriori informazioni
Analisi CVE
Numero CVE |
Effetto |
Accesso richiesto |
Mitigazione oltre all'applicazione di patch |
L'autore di attacchi può ottenere i privilegi di SISTEMA modificando determinati attributi utente seguiti da una richiesta ad AD CS |
Rete |
Disabilitazione di AD CS |
Microsoft Exchange Server
Microsoft Exchange Server è il server di posta sviluppato da Microsoft. Questo mese sono state applicate patch a sei CVE, tre vulnerabilità critiche dell'elevazione dei privilegi e tre importanti vulnerabilità di divulgazione delle informazioni. Tali vulnerabilità interessano le installazioni locali di Exchange, non le istanze di Office 365.
Analisi dell'ambito
Con l'introduzione di Office 365, sempre più organizzazioni abbandonano l'installazione in locale a favore delle soluzioni SaaS. Evidentemente, nelle nostre reti monitorate, solo il 40% dispone di un server Exchange locale.
Consigli generali
Le vulnerabilità di divulgazione delle informazioni indicano chiaramente che consentono agli autori di attacchi di leggere messaggi e-mail mirati, ma Microsoft non dichiara esplicitamente l'effetto delle vulnerabilità dell'elevazione dei privilegi Riteniamo che potrebbero consentire agli aggressori di inviare e-mail a nome di altri utenti. Poiché sono anche classificati come "sfruttamento più probabile", consigliamo vivamente di applicare patch ai server Exchange e di abilitarli Protezione estesa. Per maggiori informazioni, potete consultare il Blog su Microsoft Exchange.
Inoltre, alcune di queste vulnerabilità richiedono che il server Exchange acceda a un server dannoso sotto il controllo dell'autore di attacchi. Anche la mappatura dei vicini richiesti del vostro server Exchange locale (server di posta esterni, database, ecc.) e la creazione di regole di isolamento per essi, potrebbe essere una mitigazione efficace.
Analisi CVE
Numero CVE |
Effetto |
Accesso richiesto |
Mitigazione oltre all'applicazione di patch |
Un attacco riuscito può consentire a un autore di attacchi di leggere e inviare e-mail |
Rete |
- Isolamento delle connessioni in uscita dagli Exchange Server |
|
Rete, accesso a server dannosi |
|||
Un autore di attacchi autenticati può leggere e inviare e-mail |
Rete, autenticazione |
||
Lettura delle e-mail mirate |
Rete |
||
Rete, accesso a server dannosi |
Questo riepilogo fornisce una panoramica delle nostre attuali conoscenze e raccomandazioni in base alle informazioni disponibili. La nostra revisione è continua e tutte le informazioni qui contenute sono soggette a modifiche.
