Varsel: Microsoft lukker flere sårbarheder udnyttet i angreb

Microsoft har i november måneds planlagte opdateringer lukket en række sårbarheder, der er blevet udnyttet i forbindelse med angreb, såkaldte zero-day sårbarheder.

Mircrosoft har blandt andet lukket to sårbarheder i Exchange Server, der har gået under kaldenavnet "ProxyNotShell". Center for Cybersikkerhed udsendte den 12. oktober et varsel om disse sårbarheder [LINK: https://www.cfcs.dk/da/handelser/varsler/proxynotshell/ ].

Ifølge Microsoft bør man installere sikkerhedsopdateringerne til Exchange Server, selvom man har implementeret nogle af de midlertidige modforanstaltninger, som Microsoft tidligere har foreslået.

Yderligere information:

Released: November 2022 Exchange Server Security Updates

Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server

Analyzing attacks using the Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082

Microsoft Exchange Server Remote Code Execution Vulnerability CVE-2022-41082

Microsoft Exchange Server Elevation of Privilege Vulnerability CVE-2022-41040

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040

Omgåelse af sikkerhedsfunktionen Mark of the Web

Microsoft har også lukket en sårbarhed i en sikkerhedsfunktion i Windows, der er blevet set udnyttet i angreb. Sårbarheden gør det muligt at omgå det såkaldte "Mark of the Web".

Windows giver filer et mærke, hvis de kommer fra internettet, for eksempel som en vedhæftet fil til en mail eller downloadet via en browser. Mærket bruges til at aktivere ekstra beskyttelse, når brugeren forsøger at åbne filerne. Hvis brugeren har hentet en programfil fra internettet og forsøger at køre programmet, vil Windows advare om, at filen potentielt kan være skadelig.

Sårbarheden medfører, at det er muligt at udforme eksempelvis en ZIP-fil, så de filer, der udpakkes fra den, ikke bliver mærket. Det kan potentielt bruges til at fjerne nogle af de ekstra advarsler, brugeren får, når brugeren åbner filer, der burde være mærket med Mark of the Web.

Microsoft har vurderet sårbarheden som mindre alvorlig, fordi brugeren skal interagere med en fil, for at den kan udnyttes. I sig selv giver sårbarheden heller ikke særlige privilegier. Den fører imidlertid til, at brugeren ikke advares om, at der er tale om en fil, der er downloadet fra internettet. Der er således færre advarsler til brugeren om eksempelvis et dokument, der indeholder makroer.

Microsoft har den 11. november 2022 opdateret status på en anden sårbarhed i samme funktion, som ifølge Microsoft også bliver udnyttet.

Yderligere information:

Windows Mark of the Web Security Feature Bypass Vulnerability CVE-2022-41091

Windows Mark of the Web Security Feature Bypass Vulnerability CVE-2022-41049

Tre Windows-sårbarheder udnyttet i angreb

Blandt november måneds sikkerhedsopdateringer fra Microsoft er der også opdateringer, som lukker yderligere tre sårbarheder, der ifølge Microsoft er blevet observeret i forbindelse med angreb. Microsoft har kun offentliggjort begrænsede oplysninger om disse sårbarheder.

Det drejer sig om en sårbarhed i printkøen i Windows (print spooler) og en sårbarhed i en komponent i de indbyggede funktioner til kryptering i Windows (CNG). Disse to sårbarheder kan begge udnyttes af en angriber, som allerede har fodfæste eller får eksekveret programkode til at opnå rettigheder som SYSTEM.

Den tredje sårbarhed findes i script-fortolkeren JScript9 i Windows. Sårbarheden kan potentielt udnyttes til at afvikle ondsindet programkode. Det forudsætter dog ifølge Microsoft, at en bruger eksempelvis lokkes til at tilgå en lokal filserver eller et websted. Sårbarheden vil eksempelvis kunne udnyttes i forbindelse med phishing via mail.

Yderligere information:

Windows Print Spooler Elevation of Privilege Vulnerability CVE-2022-41073

Windows CNG Key Isolation Service Elevation of Privilege Vulnerability CVE-2022-41125

Windows Scripting Languages Remote Code Execution Vulnerability CVE-2022-41128