Kolejna łatka na aktywnie wykorzystywany zeroday umożliwiający eskalację uprawnień na Windows!

Eskalacja uprawnień do SYSTEM

Opisywany „zero day” to CVE-2022-22047, który wpływa na systemy operacyjne komputerów stacjonarnych i serwerów poprzez lukę umożliwiającą podnoszenie (eskalację) uprawnień na „normalnym” użytkowniku. Luka otrzymała wynik CVSS: 7,8 i wykorzystuje błąd podniesienia uprawnień w podsystemie wykonawczym klienta/serwera systemu Windows – Client/Server Runtime Subsystem [CSRSS].

„Atakujący, który z powodzeniem wykorzysta tę lukę, może uzyskać uprawnienia SYSTEMOWE” — zauważył Microsoft, ale osoba atakująca musi najpierw uzyskać dostęp do systemu, zwykle wykorzystując osobny błąd wykonania kodu (exploit).

Jeśli atakujący zdobędzie exploit na powyższy zeroday i połączy z go phishingiem, np. atakiem mailowym wykorzystującym opisywany przez nas ostatnio błąd w dokumencie Word, to uzyska pełną kontrolę nad komputerem. Przypominamy, że za pomocą tak zdobytego uprawnienia SYSTEM na Windows atakujący mogą zrobić w systemie co im się tylko podoba (pełna kontrola nad komputerem). Mogą na przykład wyłączyć lokalne usługi, takie jak narzędzia Endpoint Detection i Security oraz wdrożyć narzędzia takie jak Mimikatz, których można użyć do ataku domeny Active Directory (patrz kampania Cyber Kill Chain) oraz do przechwycenia jeszcze większej liczby kont.

Kolejna przemilczana łatka wydana przez Microsoft

Ostatnio pisaliśmy tutaj, że Microsoft zrobił się bardzo tajemniczy w kontekście ujawniania szczegółów na temat łatanych luk. Nie wiemy też, czy zeroday jest używany w atakach powszechnych, czy ukierunkowanych? Microsoft tego nie mówi, więc administratorom trudno jest prawidłowo ocenić, czy powinni wdrożyć dostarczoną poprawkę wcześniej, czy później. W przypadku braku takich informacji prawdopodobnie powinni na wszelki wypadek wybrać pierwszą opcję.

Podsumowanie

Zalecamy oczywiście załatanie podatnych systemów, lecz przed tym polecamy przetestować na boku, czy wszystko po łatkach działa dobrze.

Jest jeszcze jedna, ciekawa informacja, o której warto wspomnieć na wypadek, gdybyście ją przegapili. Wraz z biuletynem z łatkami, we wtorek Microsoft ogłosił, że nowa usługa „Windows Autopatch” jest dostępna dla klientów z licencjami Enterprise E3 i E5. Według doniesień giganta usługa powinna usprawnić proces łatania błędów dla Windows 10 i 11 Enterprise oraz Professional OS. Funkcja Autopatch obsługuje dołączanie do hybrydowej usługi AD i czyste maszyny dołączane do usługi Azure AD. Lokalne środowiska przyłączania do domeny nie są obsługiwane. Więcej na ten temat przeczytasz tutaj.