Jonathan Greig er journalist baseret i New York City.
Fuld biografisk den 7. februar 2022 | Emne: Sikkerhed
Den US Cybersecurity and Infrastructure Security Agency (CISA) tilføjede en Microsoft Win32k-privilegieeskaleringssårbarhed til sit katalog over kendte udnyttede sårbarheder, og beordrede føderale civile agenturer til at rette op på problemet senest den 18. februar.
CISA sagde, at det tilføjede sårbarheden “baseret på bevis for, at trusselsaktører aktivt udnytter det.
Cybersikkerhedsfirmaet DeepWatch sagde i en blog i sidste uge, at proof-of-concept-kode blev offentliggjort, og at trusselsaktører med begrænset adgang til en kompromitteret enhed “kan bruge denne sårbarhed til hurtigt at hæve privilegier, så de kan spredes sideværts inde i netværket, skabe nye administratorbrugere, og kør privilegerede kommandoer.”
“Ifølge sikkerhedsforskeren, der er krediteret for at afsløre sårbarheden til Microsoft, er sårbarheden allerede blevet udnyttet af avancerede persistent trussel (APT) aktører. deepwatch Threat Intel Teams vurder med stor tillid til, at trusselsaktører sandsynligvis vil bruge den offentligt tilgængelige udnyttelseskode til CVE-2022-21882 til at eskalere privilegier på systemer, hvor de allerede oprindeligt har kompromitteret,” forklarede deepwatch Threat Intel Team.
“I betragtning af sårbarheden påvirker Windows 10, råder deepwatch Threat Intel-teamet kunder til at installere opdateringer så hurtigt som muligt og prioritere sårbare internet-eksponerede systemer.”
Sårbarheden har en CVSS-score på 7.0 og påvirker Microsoft Windows 10 versioner 1809, 1909, 20H2, 21H1 og 21H2 samt Microsoft Windows 11. Microsoft Windows Server 2019 og Microsoft Windows Server 2022 er også berørt.
Spørgsmålet blev stærkt diskuteret af cybersikkerhedseksperter på Twitter, hvoraf en sagde, at de opdagede det for to år siden. Andre bekræftede udnyttelsen.
Angående den netop rettede CVE-2022-21882:
win32k-privilegieeskaleringssårbarhed,
CVE-2021-1732 patch-omgåelse,let at udnytte,som blev brugt af apt-angreb— b2ahex (@b2ahex) 12. januar 2022
< p>Microsoft anerkendte RyeLv (@b2ahex) for at opdage problemet og bekræftede, at det er blevet udnyttet. Problemet er relateret til en anden sårbarhed – CVE-2021-1732 -, som Microsoft frigav en patch til i februar 2021.
Bugcrowd-grundlægger Casey Ellis sagde, at det, der skilte sig mest ud for ham, var, at de fleste af de andre sårbarheder omfattet af 2022-01 giver indledende adgang til systemer.
“Denne er nyttig til at øge styrken af marginal indledende adgang, efter at den allerede er opnået. Betydningen af dette er, at den flytter forebyggelsesfokus fra 'forebygge indtrængen' til 'antage og indeholde indtrængen',” forklarede Ellis.
Privilege-eskaleringsfejl er banebrydende for ethvert operativsystem, ifølge BluBracket produktchef Casey Bisson. Bisson tilføjede, at enhver succesfuld OS-leverandør eller -fællesskab prioriterer rettelser til dem.
“OS-fejl kan være meget alvorlige, fordi de påvirker et så stort antal systemer, men det udløser også en stærk og hurtig reaktion,” sagde Bisson . “Sårbarheder på applikationsniveau er dog ofte mere risikable, fordi de kan resultere i lignende adgangsniveauer, men mangler den samme opmærksomhed, som risici på OS-niveau ofte modtager.”