Jeden Monat verfasst Trellix eine Shortlist der Top-Schwachstellen des Monats. Im Oktober fühlten sich kritische CVEs aber scheinbar am wohlsten. Gefundene Schwachstellen im Oktober waren:
- CVE-2022-41040: Microsoft Exchange SSRF (ProxyNotShell)
- CVE-2022-41082: Microsoft Exchange PowerShell RCE (ProxyNotShell)
- CVE-2022-42889: Apache Common Text RCE (Text4Shell)
- BYOVD (Bring Your Own Vulnerable Driver) Mitigations Flaw: Windows
CVE-2022-41040, CVE-2022-41082
Diese Bug-Variationen basieren auf einem Schwachpunkt in der Exchange-Architektur, bei dem es sich um eine eingebaute serverseitige Anforderungsfälschung (auch SSRF) handelt.
CVE-2022-41040 und CVE-2022-41082 wurden von GTSC Cyber Security am 29. September als Zero-Day-Schwachstellen entdeckt und werden nun gemeinsam als ProxyNotShell bezeichnet. Die Kombination der beiden Schwachstellen führt zu einer Remote Code Execution (RCE; Code-Ausführung aus der Ferne). Obwohl die Bugs bereits im August privat an das ZDI gemeldet wurden, hat Microsoft sie zum Zeitpunkt dieses Reports noch nicht gepatcht.
Aktuell ist kein Patch für diese Schwachstellen verfügbar. Microsoft hat jedoch eine Anleitung für die Umsetzung verschiedener Schutzmaßnamen veröffentlicht. Darunter eine IIS-URL-Rewrite-Regel sowie die Deaktivierung von Remote-PowerShell für Nicht-Administratoren.
Trellix-Kunden können sich freuen, da sie durch die Network Security Platform (NSP) und Network Security (NX) abgedeckt sind. Trellix NSP deckt beide Schwachstellen ab Version 10.9.37.6 über die Angriffs-ID 0x45298B00 ab, während diejenigen, die NX verwenden für CVE-2022-41082 über die Regel „Microsoft Exchange Server CVE-2022-41082 Remote Code Execution“ abgedeckt sind.
CVE-2022-42889: Ein Patch for Apaches neuste Java “4Shell”
In der Apache Commons Bibliothek wurde eine Sicherheitslücke namens Text4Shell entdeckt, die als CVE-2022-42889 verfolgt wird. Text4Shell ist eine weitere Sicherheitslücke der Java-Deserialisierung, die zu RCE führen kann, diesmal in den String-Interpolationsfunktionen der Apache Commons Text-Bibliothek. Diese Schwachstelle wurde in der Apache Commons Text Version 1.10 gepatcht, welche über die Website abgerufen werden kann. Dennoch sollten Unternehmen, die Java-Code entwickeln, nach jeglicher Anwendung der Apache Commons Text-Bibliothek in den Versionen 1.5 – 1.9 suchen, da diese sicherheitsgefährdet sind.
Trellix Kunden sind über die NX-Regel „Apache Commons Text String CVE-2022-42889 RCE“ abgedeckt. Für diejenigen, die die Network Security Platform nutzen, ist die Abdeckung auch als User-Defined Signature (UDS) unter der Angriffs-ID 0x452B8B00 als Teil des Signatursets vom 1. November verfügbar.
BYOVD
Auch eine laufende Diskussion zwischen Microsoft und der Security Research Community ist diesen Monat Thema. Dabei geht es um eine Schwachstelle, die von Bedrohungsakteuren wie Lazarus bei „bring your own valuable driver“-Angriffen ausgenutzt wird. Angreifer nutzen diese Methode, um zum Systemkern zu wechseln, nachdem sie bereits lokalen Zugriff erlangt haben. So vermeiden sie entdeckt zu werden und behalten die langfristige Kontrolle über das System.
Ein Problem von Microsoft besteht darin, dass die Liste bekannter anfälliger Treiber seit der Veröffentlichung im Jahr 2019 nicht mehr aktualisiert wurde und die bestehende Sperrliste nur zwei Treiber enthielt.
In der Zwischenzeit hat Microsoft versichert, dass diese Sperrliste automatisch über Windows Update aktualisiert würde. Neben der Sperrliste soll auch die Windows Defender-Regel zur Reduzierung der Angriffsfläche (Attack Surface Reduction, ASR) „Missbrauch von ausgenutzten anfälligen signierten Treibern blockieren“ die Installation dieser Treiber nicht verhindern können.
Den vollständigen Report finden Sie hier: https://www.trellix.com/en-us/about/newsroom/stories/research/the-bug-report-october-2022-edition.html