Ce qui a été patché en octobre 2022 Patch Tuesday? Microsoft a publié des correctifs pour 85 vulnérabilités, dont un zero-day. Malheureusement, la dite Failles de ProxyNotShell (CVE-2022-41040 et CVE-2022-41082), pas encore patché, et les parties concernées doivent suivre les recommandations d'atténuation de Microsoft.
CVE-2022-41040 est un problème de falsification de requête côté serveur qui peut être exploité par un attaquant authentifié pour s'enchaîner avec CVE-2022-41082. La deuxième vulnérabilité est un problème d'exécution de code à distance permettant aux pirates d'exécuter à distance des commandes Powershell sur un serveur Powershell vulnérable.. Initialement, Microsoft a déclaré que les acteurs de la menace doivent déjà être authentifiés auprès du serveur ciblé pour que l'attaque réussisse. Cette condition rend une attaque ProxyNotShell moins dangereuse que la vulnérabilité ProxyLogin, découverte au printemps de 2021.
CVE-2022-41033 en détail
La zero-day abordé dans le Patch Tuesday de ce mois-ci a été identifié comme CVE-2022-41033. Il s'agit d'un problème d'élévation de privilèges dans le service de système d'événements Windows COM+. Le service distribue automatiquement les événements à COM (Modèle d'objet composant) Composants.
On sait que le zero-day CVE-2022-41033 a été exploité à l'état sauvage mais la nature des attaques n'a pas été révélée. Cependant, Microsoft a déclaré que la complexité de l'attaque est faible, et qu'aucune interaction de l'utilisateur n'est requise pour l'exécuter. Après avoir réussi à exploiter, un attaquant pourrait obtenir les privilèges SYSTEM.
D'après Mike Walters, Vice-président de la recherche sur la vulnérabilité et les menaces chez Action1, toutes les versions de Windows, à partir de Windows 7 et Windows Server 2008, sont exposés. "Le service Windows COM + Event System est lancé par défaut avec le système d'exploitation et est chargé de fournir des notifications sur les connexions et les déconnexions,» Dit le chercheur.
L'application du patch est obligatoire, en tant qu'attaquant connecté à un ordinateur invité ou ordinaire peut facilement obtenir les privilèges SYSTEM. Le zero-day est « particulièrement important pour les organisations dont l'infrastructure repose sur Windows Server,» Walters a ajouté.
Autres vulnérabilités corrigées en octobre 2022
Une autre vulnérabilité notable corrigée ce mois-ci a été notée 10 de 10 sur l'échelle CVSS, ce qui en fait un problème très critique. CVE-2022-37968 est un "cluster Kubernetes activé par Azure Arc Connect Elevation of Privilege Vulnerability,” tel que décrit par Microsoft. Selon Trend Micro Zero Day Initiative, un attaquant aurait besoin de connaître le point de terminaison DNS généré de manière aléatoire pour un cluster Kubernetes activé par Azure Arc. La recommandation pour les organisations exécutant ces conteneurs est de s'assurer que la mise à niveau automatique est activée, ou mettez à jour manuellement vers la version corrigée en exécutant les commandes spécifiques dans Azure CLI.
Une autre faille dangereuse corrigée ce mois-ci est CVE-2022-38048 dans Microsoft Office. La vulnérabilité est un problème d'exécution de code à distance qui est classé comme critique.