Uppdaterad: 2022-11-18 12:35 Publicerad: 2022-11-09 10:23

Microsofts månatliga säkerhetsuppdateringar för november 2022

Microsoft har släppt sina månatliga säkerhetsuppdateringar för november månad, totalt 68 varav 11 anses kritiska. Flera av sårbarheterna kan utnyttjas av angripare för att fjärrköra kod, eskalera privilegier samt genomföra överbelastningsattacker.[1]

De kritiska sårbarheterna påverkar flera versioner av Microsoft Windows och Microsoft Windows Server samt Microsoft Exchange Server och Microsoft Office.De rättar sex nolldagssårbarheter som enligt uppgift utnyttjas aktivt:Sårbarheten i Windows Scripting Language (CVE-2022-41128, CVSS-klassning 8,8) är en dagnollsårbarhet som möjliggör angripare att fjärrköra kod under förutsättning att användaren med en berörd version av Windows kontaktar en server som förberetts för att utnyttja sårbarheten.[2]

Sårbarheter i Microsoft Exchange Server (CVE-2022-41040 respektive CVE-2022-41082, CVSS-klassning 8,8) är dagnollsårbarheter som möjliggör för en autentiserad angripare att eskalera privilegier att köra PowerShell på systemet samt att exekvera godtycklig kod [3,4]. Dessa sårbarheter har uppmärksammats tidigare under namnet ”ProxyNotShell”. CERT-SE har tidigare publicerat en artikel om dessa sårbarheter [5].

Sårbarheter i Windows Print Spooler och Windows CNG Key Isolation Service (CVE-2022-41073 respektive CVE-2022-41125, CVSS-klassning 7,8) är dagnollsårbarheter som möjliggör för en lokal angripare att eskalera privilegier upp till systemnivå.[6,7]

Sårbarheten i säkerhetsfunktionen Windows Mark of the Web (MOTW) (CVE-2022-41091, CVSS-klassning 5,4) är en dagnollsårbarhet som gör det möjligt för en angripare att kringgå den säkerhetskontroll som MOTW gör av nedladdade filer vilket exempelvis kan innebära att Microsoft Office inte öppnar dokument i skyddat läge.[8]

Microsoft publicerade den 2 november rättningar (CVE-2022-3786 respektive CVE-2022-3602) kopplade till sårbarheterna i OpenSSL som rättades 1 november. [9,10] CERT-SE har tidigare publicerat en artikel om dessa sårbarheter [11].

Uppdatering 2022-11-11

Vissa rapporterar problem vid patchning av domänkontrollanter med Kerberos-authentisering om man tidigare följt Microsofts rekommendationer om best practice kopplat till CVE-2022-37966 [12,13,14]. Dessa innebar att stänga av RC4 som var sårbart och istället enbart använda AES (msDS-SupportedEncryptionTypes = AES only (24)) [15].Tillfällig lösning som föreslås av Fabian Bader [14]:* Enable RC4 and AES for all computers* Reset msDS-SupportedEncryptionTypes on the affected computers* gpupdate /force on the computers* Test-ComputerSecureChannel -Repair to make sure the connection to the DC in orderArtikeln kommer vid behov att uppdateras med ytterligare information.

Uppdatering 2022-11-14

Även Microsoft uppmärksammar i en artikel problematiken med Kerberos-autentiseringen, och skriver att man arbetar på att ta fram en lösning för detta [16].

Uppdatering 2022-11-18

Microsoft har den 17 november publicerat säkerhetsuppdateringar för att hantera problematiken med Kerberos-autentisering hos domänkontrollanter. CERT-SE rekommenderar att följa Microsofts instruktioner. [17]

Påverkade produkter

För en fullständig lista av alla produkter som berörs, se [1].

Rekommendationer

CERT-SE rekommenderar att snarast möjligt installera säkerhetsuppdateringarna.

Källor

[1] https://msrc.microsoft.com/update-guide

[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41128

[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040

[4] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082

[5] https://cert.se/2022/09/ny-attackmetod-i-microsoft-exchange

[6] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41073

[7] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41125

[8] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41091

[9] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-3602

[10] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-3786

[11] https://cert.se/2022/10/sakerhetsuppdatering-fran-openssl

[12] https://www.reddit.com/r/sysadmin/comments/ypbpju/patch_tuesday_megathread_20221108/

[13] https://twitter.com/SteveSyfuhs/status/1590455509781733376

[14] https://infosec.exchange/@fabian_bader/109314459043448025

[15] https://support.microsoft.com/sv-se/topic/kb5021131-s%C3%A5-h%C3%A4r-hanterar-du-kerberos-protokoll%C3%A4ndringar-relaterade-till-cve-2022-37966-fd837ac3-cdec-4e76-a6ec-86e67501407d

[16] https://learn.microsoft.com/en-us/windows/release-health/status-windows-11-22h2#2953msgdesc

[17] https://learn.microsoft.com/en-us/windows/release-health/windows-message-center#2961

Kontakta oss - dygnet runt

CERT-SE är tillgängliga dygnet runt alla dagar på året för att kunna agera och inom vårt uppdrag hjälpa verksamheter som har drabbats av it-säkerhetsincidenter.

telefon

010-240 40 40

e-post

cert@cert.se

Fler nyheter

2024-04-25 10:12

Sårbarheter i Cisco-produkter utnyttjas aktivt

Cisco varnar för tre sårbarheter i produktserierna Adaptive Security Appliance (ASA) och Firepower Threat Defense (FTD)....

Sårbarhet Cisco
2024-04-24 15:53

Sårbarhet i Progress Flowmon

Progress har rättat en sårbarhet (CVE-2024-2389) i produkten Flowmon, som används för att övervaka och analysera...

Sårbarhet Progress Flowmon
2024-04-19 14:07

CERT-SE:s veckobrev v.16

Denna vecka gick CERT-SE ut med årets andra blixtmeddelande, gällande en kritisk sårbarhet i Palo Alto...

Veckobrev
2024-04-19 13:06 Uppdaterad

Kritiska sårbarheter i Ivanti Avalanche

Ivanti har rättat flera sårbarheter i Avalanche, varav två bedöms som kritiska. De kan kan orsaka...

Sårbarhet Ivanti Avalanche
2024-04-18 16:25

Oracles kvartalsvisa säkerhetsuppdatering för april 2024

Oracle har publicerat sina kvartalsvisa säkerhetsuppdateringar för april. Säkerhetsuppdateringarna berör ett stort antal produkter. Totalt publiceras...

Sårbarhet Oracle

Nyheter