Varsel: Microsoft lukker ny sårbarhed under angreb i Windows
Microsoft har udsendt en sikkerhedsopdatering, som lukker endnu en sårbarhed i det indbyggede Windows-værktøj MSDT. Microsoft bekræfter, at sårbarheden bliver udnyttet i angreb.
Blandt Microsofts sikkerhedsopdateringer for august måned, som blev frigivet tirsdag d. 8. august, er en ny rettelse til Microsoft Windows Support Diagnostics Tool (MSDT). Opdateringen lukker en sårbarhed, der ifølge Microsoft er blevet udnyttet til angreb.
Microsoft har gennem de seneste måneder lukket flere sikkerhedshuller i MSDT, som er blevet udnyttet i cyberangreb, blandt andet sårbarheden kendt under navnet "Follina". Denne seneste sårbarhed er ifølge Microsoft en variant af en efterfølgende sårbarhed kendt som "Dogwalk".
Den seneste sårbarhed kan udnyttes ved at få brugeren til at åbne en fil, eksempelvis fra en e-mail eller et link til en webside. Kravet om brugerinteraktion betyder, at opdateringen blot betegnes som "vigtig" i Microsofts terminologi. Det er imidlertid en meget udbredt angrebsvektor, som især i målrettede angreb kan være effektiv. Da Microsoft samtidig bekræfter, at sårbarheden er set udnyttet i konkrete angreb, vil det være fornuftigt at prioritere opdateringen på lige fod med de opdateringer, Microsoft har kategoriseret som "kritisk".
Opdateringen til MSDT lukker samtidig en anden ny sårbarhed i værktøjet, hvor der ifølge Microsoft eksisterer et proof-of-concept. Da MSDT i forvejen har fået en del opmærksomhed fra både uafhængige sikkerhedsanalytikere og flere hackergrupper, er det ifølge Microsoft også sandsynligt, at denne sårbarhed vil blive udnyttet.
Den seneste opdatering til MSDT, som er udsendt med august måneds sikkerhedsopdateringer, lukker ifølge Microsoft begge sårbarheder.
Yderligere information:
Microsofts øvrige opdateringer for august 2022
Microsoft har i august måned også adresseret tre sårbarheder i Exchange Server. Disse sårbarheder kan ifølge Microsoft potentielt udnyttes til at få adgang til alle mailbokse på en sårbar server.
Der er ifølge Microsoft ikke rapporteret om konkrete forsøg på at udnytte disse sårbarheder, og der er heller ikke offentliggjort kodeeksempler eller exploits, der kan bruges til at udnytte dem. Imidlertid vurderer Microsoft, at kompleksiteten er lav, hvis en angriber vil forsøge at udnytte sårbarhederne.
Microsoft betegner derfor opdateringerne til Exchange Server som "kritiske".
Det er imidlertid utilstrækkeligt blot at installere opdateringerne. Ifølge Microsoft skal organisationer, der har lokale eller on-premise Exchange Server, desuden aktivere Windows Extended Protection for at opnå fuld beskyttelse. Det er en manuel proces og forudsætter ifølge Microsoft, at man anvender en version af Exchange Server, som understøtter Windows Extended Protection.
Yderligere information:
Released: August 2022 Exchange Server Security Updates
Beskrivelse af sikkerhedsopdateringen til Microsoft Exchange Server 2013: 9. august 2022 (KB5015321)
Microsoft Exchange Server Elevation of Privilege Vulnerability CVE-2022-21980
Microsoft Exchange Server Elevation of Privilege Vulnerability CVE-2022-24477
Microsoft Exchange Server Elevation of Privilege Vulnerability CVE-2022-24516
Sårbarhed i Windows Point-to-Point Protocol (PPP)
Microsoft har også lukket en sårbarhed i Windows-implementeringen af Point-to-Point Protocol (PPP). Sårbarheden betegnes som "kritisk" af Microsoft, idet den kan udnyttes via internettet uden interaktion med brugeren.
Imidlertid kan et angreb kun ske gennem port 1723. Microsoft nævner derfor også, at et potentielt workaround eller midlertidigt fiks kan være at blokere for trafik til port 1723.
PPP på Windows er historisk mest blevet brugt til etablering af en netværksforbindelse via et modem og en telefonlinje (dial-up). Denne type forbindelse er mindre udbredt i dag, men protokollen findes stadig indbygget i Windows.
Hvis man blokerer for port 1723, skal man ifølge Microsoft være opmærksom på, at det kan påvirke netværksforbindelser, der bruger porten eller PPP.
Yderligere information:
Windows Point-to-Point Protocol (PPP) Remote Code Execution Vulnerability CVE-2022-30133
Varsler fra CFCS
CFCS ønsker at give flere danske organisationer et overblik over aktuelle sårbarheder og vil derfor udgive flere varsler på hjemmesiden. Det øgede antal varsler afspejler ikke en konkret ændring i trusselsbilledet.