Sista patch tisdag förföljd av oro över Microsoft sÄrbarhet svar
37 4 minuter lÀst
Microsoft tappade den senaste Patch Tuesday-uppdateringen nĂ„gonsin â Ă„tminstone i sin nuvarande form â i gĂ„r kvĂ€ll, men sĂ€kerhetsforskare uttrycker vĂ€xande oro över att Microsoft Security Response Center (MSRC) upprepade gĂ„nger tappar bollen nĂ€r det gĂ€ller att hantera avslöjanden pĂ„ ett korrekt sĂ€tt.
I gĂ„r rapporterade Computer Weekly och andra om upplevelsen av Tzah Pahima, en Orca Security-forskare, som vĂ€ntade nĂ€stan sex mĂ„nader â och bröt tvĂ„ separata patchar â innan Microsoft förseglade en kritisk sĂ„rbarhet i Azure Synapse Analytics.
Samtidigt avslöjade vĂ„r systertitel SearchSecurity.com att forskare pĂ„ Tenable var lika missnöjda med Microsofts svar pĂ„ avslöjandet av tvĂ„ sĂ„rbarheter â av en slump ocksĂ„ i Azure Synapse. De anklagade Microsoft för bristande transparens i sin rapporteringsprocess.
Via e-postade kommentarer sa Tenables senior forskningsingenjör Claire Tills till Computer Weekly: “AngĂ„ende Microsofts oroande mönster att avfĂ€rda legitima sĂ€kerhetsproblem, upptĂ€ckte och avslöjade Tenable-forskaren Jimi Sebree tvĂ„ sĂ„rbarheter i Microsofts Azure Synapse Analytics, varav en har korrigerats och en som inte har det. Ingen av dessa sĂ„rbarheter tilldelades CVE-nummer eller dokumenterades i Microsofts sĂ€kerhetsuppdateringsguide för juni.”
Sebree skrev om en “stor kommunikationsavbrott” mellan MSRC och teamet som ansvarar för Azure Synapse.
Forskarnas oro fÄr en extra kÀnsla av brÄdska med tanke pÄ Microsofts vÀldokumenterade svar pÄ CVE-2022-30190, nolldagen kÀnd som Follina, som avslöjades i slutet av maj.
Enligt den anonyma hackaren som avslöjade det, en medlem av Shadow Chaser-hotjaktkollektivet som gÄr under handtaget Crazyman, avfÀrdade MSRC Follina, en sÄrbarhet med noll klick i Microsoft Office som gör det möjligt för en angripare att utföra PowerShell-kommandon utan anvÀndarinteraktion, stÀngt Crazymans biljett och sa att det inte var ett sÀkerhetsrelaterat problem. Eftersom det var en nolldag visade det sig bevisligen inte vara fallet pÄ kort sikt.
Computer Weekly kontaktade Microsoft med frÄgor om dess avslöjandeförfaranden men hade inte fÄtt nÄgot svar vid tidpunkten för publiceringen.
Sista fling fixar Follina dÄrskap
Lyckligtvis för Follina-fruktare fixades sÄrbarheten verkligen i den senaste Patch Tuesday-uppdateringen, en av 61 unika sÄrbarheter, och den enda nolldagen som har kommit under aktivt utnyttjande. Men enligt Todd Schell frÄn Ivanti kan det ha varit ett nÄgot förhastat tillÀgg till listan.
“Denna sĂ„rbarhet har varit under attack i flera mĂ„nader.Denna sĂ„rbarhetfix mĂ„ste ha varit ett sent tillĂ€gg den hĂ€r mĂ„naden, för Ă€ven om det dyker upp i sĂ„rbarhetslistan i sĂ€kerhetsguiden, visades det inte i uppdelningen av CVE:er för varje patch, sĂ€ger Schell.
NÄgra av de andra mer pÄverkande sÄrbarheterna som tas upp i Patch Tuesdays svansÄng Àr CVE-2022-30137, en sÄrbarhet för fjÀrrkörning av kod (RCE) i Windows Network File System, som har en skyhög CVSS-poÀng pÄ 9,8, men som kan anses svÄrare att utnyttja eftersom en angripare vanligtvis redan behöver ha nÀtverksÄtkomst för att dra nytta av det.
OcksÄ vÀrda att notera Àr CVE-2022-30157 och CVE-2022-30158, bÄda RCE-sÄrbarheter i Microsoft SharePoint Server, som Äterigen krÀver att en angripare har etablerat initial Ätkomst för att utnyttja.
Kanske mer sannolikt att utnyttjas Ă€r CVE 2022-30147, en privilegieskaleringssĂ„rbarhet i Windows Installer som pĂ„verkar bĂ„de skrivbords- och servermiljöer, vilket kan visa sig vara anvĂ€ndbart för angripare som söker administratörsbehörighet för att â till exempel â exfiltrera data innan de distribuerar ransomware.
“En sĂ„rbarhet för exekvering av fjĂ€rrkod i Hyper-V lĂ„ter skrĂ€mmande nĂ€r man tĂ€nker pĂ„ att en angripare, om den utnyttjas, kan flytta frĂ„n en virtuell gĂ€stdator till vĂ€rden och komma Ă„t alla virtuella datorer som körs. Microsoft har dock markerat denna sĂ„rbarhet som mindre sannolik att utnyttjasâ
Kev Breen, Immersive Labs
SĂ€kerhetsteam kanske ocksĂ„ vill prioritera CVE-2022-30163, en RCE-sĂ„rbarhet i Windows Hyper-V. Kev Breen frĂ„n Immersive Labs kommenterade: “En sĂ„rbarhet för exekvering av fjĂ€rrkod i Hyper-V lĂ„ter skrĂ€mmande nĂ€r man tĂ€nker pĂ„ att, om den utnyttjas, kan en angripare flytta frĂ„n en virtuell gĂ€stdator till vĂ€rden och komma Ă„t alla virtuella datorer som körs.
“Men Microsoft har markerat denna sĂ„rbarhet som mindre sannolik att utnyttjas. Detta beror förmodligen pĂ„ att komplexiteten Ă€r hög och krĂ€ver att en angripare vinner ett lopp. Vad det villkoret Ă€r avslöjas inte. Den hĂ€r kommer att vara av högt vĂ€rde för angripare om en metod för att enkelt utnyttja den upptĂ€cks.â
Samtidigt reflekterade Allan Liska frĂ„n Recorded Future över nĂ€stan tvĂ„ decennier av Patch Tuesday-historia. Han sa: “Den första Patch Tuesday slĂ€pptes 14 oktober 2003. Patch Tuesday var ursprungligen utformad som ett sĂ€tt för Microsoft att slĂ€ppa alla sina patchar samtidigt och tisdag valdes eftersom det gav systemadministratörer tid att granska och testa patcharna och sedan fĂ„ dem installerade innan helgen.
“Den första Patch Tuesday hade fem sĂ„rbarheter mĂ€rkta som kritiska av Microsoft, inklusive MS03-046, en sĂ„rbarhet för fjĂ€rrkörning av kod i Microsoft Exchange.
“Ju mer saker förĂ€ndras, desto mer förblir de samma. I nĂ€stan 20 Ă„r har Patch Tuesday varit en hĂ€ftklammer för systemadministratörer, IT-personal, hemanvĂ€ndare och analytiker, men den har ocksĂ„ lĂ€nge överlevt sin anvĂ€ndbarhetâ, sa han.
“Microsoft Ă€r i allt högre grad beroende av patchutgĂ„vor utanför cykeln eftersom skurkarna blir bĂ€ttre pĂ„ att bevĂ€pna sĂ„rbarheter och utnyttja dessa sĂ„rbara system snabbare. Att överge Patch Tuesday kommer, förhoppningsvis, att tillĂ„ta Microsoft att reagera pĂ„ nya sĂ„rbarheter snabbare och fĂ„ patchar utskjutna snabbareâ, tillade Liska.
Autopatch reparation, Autopatch ersÀtt
FrÄn och med nu kommer, som tidigare rapporterats, Patch Tuesday att ersÀttas av en ny automatiserad tjÀnst, Windows Autopatch, tillgÀnglig för Windows Enterprise E3-licenser och tÀcker Windows 10, 11 och Windows 365.
Den hÀr tjÀnsten, som kommer att hÄlla Windows och Office-programvara pÄ registrerade slutpunkter uppdaterade utan extra kostnad, har utvecklats som svar pÄ den vÀxande komplexiteten i IT-miljöer, som avsevÀrt har ökat antalet och omfattningen av sÄrbarheter som sÀkerhetsteam mÄste hantera, och gör den andra tisdagen i mÄnaden nÄgot fylld.
Microsoft tror att genom att automatisera patchhantering kan det ge snabbare svar pĂ„ Ă€ndringar. Dessutom, tack vare en dedikerad funktion som heter Rings, som kommer att “kaskadera” uppdateringar genom en kĂ€rnuppsĂ€ttning av anvĂ€ndarens testenheter för testning och validering (inklusive möjligheten att rulla tillbaka uppdateringen om saker och ting skulle bli pĂ€ronformade), kan sĂ€kerhetsteam förmodligen vara mer sĂ€ker pĂ„ att införa nya patchar utan att orsaka problem.
HĂ„ll kontakten med oss ââpĂ„ sociala medieplattformar för omedelbar uppdatering klicka hĂ€r för att gĂ„ med i vĂ„r Twitter och Facebook
