Patch Selasa Untuk Patch Selasa terakhir tahun ini, Microsoft memperbaiki satu bug yang telah dieksploitasi secara liar – dan satu lagi yang diketahui publik.
Itu membuat total untuk bulan Desember menjadi 49 kerentanan yang ditambal, enam di antaranya dinilai kritis.
Bug yang terdaftar sebagai dieksploitasi-in-the-wild dilacak sebagai CVE-2022-44698. Ini adalah kerentanan bypass fitur keamanan Windows SmartScreen, dan menerima peringkat 5,4 CVSS.
“Seorang penyerang dapat membuat file jahat yang akan menghindari pertahanan Mark of the Web (MOTW), yang mengakibatkan hilangnya integritas dan ketersediaan fitur keamanan yang terbatas seperti Tampilan Terproteksi di Microsoft Office, yang bergantung pada penandaan MOTW,” jelas Redmond dalam pembaruan keamanan hari ini.
Guru keamanan Will Dormann dikreditkan sebagai yang melaporkan bug khusus ini, dan telah melakukannya menge-tweet tentang jenis kekurangan sejak Juli. Kemungkinan terkait dengan bug MOTW lain yang diperbaiki Microsoft bulan lalu.
Kerentanan kedua, CVE-2022-44710meskipun tidak dalam eksploitasi aktif (setidaknya yang tidak kami ketahui) terdaftar sebagai diketahui publik, meskipun Microsoft menggambarkannya sebagai “eksploitasi kecil kemungkinannya”.
Ini adalah peningkatan cacat hak istimewa DirectX Graphics Kernel, dan menerima peringkat CVSS 7,8. Eksploitasi yang berhasil membutuhkan penyerang untuk memenangkan kondisi balapan — meskipun, seperti biasa, Redmond tidak merinci apa kondisi balapan itu. Namun, dengan asumsi bahwa penjahat memang memenangkan kondisi balapan tersebut, mereka dapat memperoleh hak istimewa sistem, jadi kami sarankan menangani bug ini dengan serius.
Dari enam bug kritis, kami sarankan untuk menambal terlebih dahulu, CVE-2022-41076, kerentanan eksekusi kode jarak jauh (RCE) PowerShell. Menurut Microsoft, eksploitasi “lebih mungkin terjadi”. Itu dapat memungkinkan pengguna yang diautentikasi untuk keluar dari Konfigurasi Sesi Jarak Jauh PowerShell dan kemudian menjalankan perintah yang tidak disetujui pada sistem yang terinfeksi.
“Aktor ancaman sering mencoba untuk ‘hidup dari tanah’ setelah pelanggaran awal – artinya mereka menggunakan alat yang sudah ada di sistem untuk mempertahankan akses dan bergerak di seluruh jaringan,” dijelaskan Dustin Childs dari Zero Day Initiative. “PowerShell adalah salah satu alat tersebut, jadi bug apa pun yang melewati batasan kemungkinan besar akan disalahgunakan oleh penyusup. Jangan abaikan tambalan ini.”
Dua kelemahan berperingkat kritis lainnya, CVE-2022-44690 dan CVE-2022-44693adalah sepasang RCE server SharePoint.
Kev Breen, direktur penelitian ancaman dunia maya di Immersive Labs, memberi tahu Pendaftaran bahwa menambal ini “harus berada di urutan teratas bagi siapa saja yang menggunakan SharePoint secara internal.”
“Penyerang mungkin mengeksploitasi kerentanan ini untuk mencuri informasi rahasia untuk digunakan dalam serangan ransomware, mengganti dokumen dengan versi baru yang berisi kode berbahaya, atau membuat makro untuk menginfeksi sistem lain,” jelasnya.
Dari tiga RCE kritis lainnya, satu (CVE-2022-41127) memengaruhi Microsoft Dynamics, dan dua lainnya, (CVE-2022-44670) dan (CVE-2022-44676), memengaruhi Protokol Tunneling Soket Aman Windows.
Adobe memperbaiki 37 CVE
Juga di Patch Selasa 2022 terakhirnya, Adobe merilis tiga tambalan yang memperbaiki 37 kekurangan Ilustrator, Manajer Pengalaman dan Klasik Kampanye. Tidak ada bug yang terdaftar sebagai under exploit atau diketahui publik.
Pembaruan keamanan untuk Kampanye Klasik mengatasi kerentanan penting yang dapat mengakibatkan eskalasi hak istimewa. Perbaikan untuk Experience Manager mengatasi kekurangan yang dinilai penting dan sedang yang dapat mengakibatkan eksekusi kode arbitrer dan pemintas fitur keamanan. Dan terakhir, patch Illustrator memperbaiki bug penting yang dapat menyebabkan kebocoran memori.
SAP merilis 22 tambalan baru dan yang diperbarui
SAP hari ini dilepaskan 22 tambalan baru dan yang diperbarui, termasuk lima Catatan Berita Panas dan lima catatan Prioritas Tinggi.
Yang paling parah, Security Note 2622660, yang mendapat skor 10 dari 10 CVSS, adalah pembaruan untuk patch April 2018 yang memperbaiki Google Chromium yang dikirimkan dengan SAP Business Client.
Dari tambalan yang baru dirilis, Catatan Keamanan 3273480 (skor CVSS 9,9) dan 3267780 (skor CVSS 9,4) mengatasi dua kerentanan kritis dalam SAP NetWeaver Process Integration (PI).
“ORL mendeteksi bahwa Sistem Pesan dan Pencarian yang Ditetapkan Pengguna di SAP PI mengekspos layanan melalui protokol P4 yang tidak memerlukan otentikasi pengguna, yang memungkinkan penyerang menggunakan penamaan terbuka dan API direktori untuk mengakses layanan untuk melakukan operasi yang tidak sah,” dijelaskan Thomas Fritsch, seorang peneliti keamanan SAP di Onapsis.
Selain itu, Catatan Keamanan 3239475 memperbaiki kerentanan pemalsuan permintaan sisi server yang kritis dengan peringkat 9,9 di SAP BusinessObjects Business Intelligence Platform.
“Penyerang dengan ‘hak pengguna BI normal’ dapat mengunggah dan mengganti file apa pun di server Business Objects pada tingkat sistem operasi, memungkinkan penyerang mengambil kendali penuh atas sistem dan berdampak signifikan pada kerahasiaan, integritas, dan ketersediaan aplikasi,” menurut Fritsch.
VMware menambal bug kritis
Juga hari ini, VMware diterbitkan dua penasihat keamanan kritis bersama dengan satu lainnya dianggap penting.
CVE-2022-31705 adalah kerentanan penulisan tumpukan di luar batas kritis di VMware ESXi, Workstation, dan Fusion. Itu menerima skor CVSS maksimum 9,3 di beberapa produk buggy, dan dapat memungkinkan penyerang dengan hak istimewa admin lokal untuk mengeksekusi kode sebagai proses VMX mesin virtual yang berjalan di host.
“Di ESXi, eksploitasi terdapat di dalam kotak pasir VMX sedangkan, di Workstation dan Fusion, ini dapat menyebabkan eksekusi kode di mesin tempat Workstation atau Fusion dipasang,” menurut VMware.
Bug kritis lainnya adalah kerentanan injeksi perintah berperingkat 9,8 yang dilacak sebagai CVE-2022-31702 di VMware vRealize Network Insight. “Aktor jahat dengan akses jaringan ke vRNI REST API dapat menjalankan perintah tanpa otentikasi,” kata raksasa virtualisasi itu.
Sementara itu, pembaruan keamanan penting alamat dua kerentanan (CVE-2022-31700, CVE-2022-31701) di VMware Workspace ONE Access dan Identity Manager dengan skor 7.2 CVSS. CVE-2022-31700 adalah kerentanan RCE terotentikasi dengan skor CVSS 7,2, sedangkan CVE-2022-31701 adalah bug autentikasi rusak yang menerima peringkat keparahan 5,3.
Ada eksploitasi PoC untuk bug Cisco yang belum ditambal ini
Cisco mengeluarkan pembaruan keamanan untuk beberapa kerentanan tingkat tinggi bulan ini, termasuk tambalan yang dirilis hari ini yang menyambungkan lubang berperingkat 7.1 di antarmuka manajemen berbasis web dari Cisco Identity Services Engine (ISE). Ini dilacak sebagai CVE-2022-20822dan dapat memungkinkan penyerang terotentikasi untuk membuat daftar, mendownload, dan menghapus file di perangkat yang terinfeksi.
Yang kedua, bug stack overflow dalam fitur pemrosesan Discovery Protocol dari firmware Cisco IP Phone 7800 dan 8800 Series, tidak akan diperbaiki hingga Januari. Ini dilacak sebagai CVE-2022-20968 dan menerima skor keparahan 8,1.
Ini sangat meresahkan karena, seperti yang diperingatkan Cisco, kode eksploit proof-of-concept sudah tersedia untuk bug ini. Sementara tim respons keamanan raksasa jaringan mengatakan “tidak mengetahui adanya penggunaan berbahaya dari kerentanan,” selain tidak ada tambalan, juga tidak ada solusi. Kami menyarankan berdoa untuk keajaiban Natal.
Dan sisanya
Citrix juga merilis pembaruan untuk memperbaiki cacat RCE “kritis” (CVE-2022-27518) di Citrix ADA dan Gateway yang telah ditemukan dan dieksploitasi oleh penjahat.
“Kami mengetahui sejumlah kecil serangan yang ditargetkan di alam liar menggunakan kerentanan ini,” catat vendor dalam a blog yang menyertai buletin keamanan.
Fortinet juga diserang
Fortinet dirilis update untuk kerentanan buffer overflow kritis berbasis heap di FortiOS SSL-VPN, yang dapat dieksploitasi untuk merusak atau mungkin membajak peralatan. Vendor keamanan mencatat telah mengetahui “contoh” di mana bug ini telah dieksploitasi, dan merekomendasikan “segera memvalidasi sistem Kamu” terhadap daftar indikator kompromi untuk cacat berperingkat 9.3, dilacak sebagai CVE-2022-42475.
Terakhir, mengakhiri pesta tambalan bulanan, Android Desember Google pembaruan keamanan memperbaiki 81 bug di perangkat ini.
“Yang paling parah dari masalah ini adalah kerentanan keamanan kritis dalam komponen Sistem yang dapat menyebabkan eksekusi kode jarak jauh melalui Bluetooth tanpa memerlukan hak eksekusi tambahan,” catatnya. ®