Microsofts månatliga säkerhetsuppdateringar för november 2022

Sårbarhet Microsoft

Microsoft har släppt sina månatliga säkerhetsuppdateringar för november månad, totalt 68 varav 11 anses kritiska. Flera av sårbarheterna kan utnyttjas av angripare för att fjärrköra kod, eskalera privilegier samt genomföra överbelastningsattacker.[1]

De kritiska sårbarheterna påverkar flera versioner av Microsoft Windows och Microsoft Windows Server samt Microsoft Exchange Server och Microsoft Office.De rättar sex nolldagssårbarheter som enligt uppgift utnyttjas aktivt:Sårbarheten i Windows Scripting Language (CVE-2022-41128, CVSS-klassning 8,8) är en dagnollsårbarhet som möjliggör angripare att fjärrköra kod under förutsättning att användaren med en berörd version av Windows kontaktar en server som förberetts för att utnyttja sårbarheten.[2]

Sårbarheter i Microsoft Exchange Server (CVE-2022-41040 respektive CVE-2022-41082, CVSS-klassning 8,8) är dagnollsårbarheter som möjliggör för en autentiserad angripare att eskalera privilegier att köra PowerShell på systemet samt att exekvera godtycklig kod [3,4]. Dessa sårbarheter har uppmärksammats tidigare under namnet ”ProxyNotShell”. CERT-SE har tidigare publicerat en artikel om dessa sårbarheter [5].

Sårbarheter i Windows Print Spooler och Windows CNG Key Isolation Service (CVE-2022-41073 respektive CVE-2022-41125, CVSS-klassning 7,8) är dagnollsårbarheter som möjliggör för en lokal angripare att eskalera privilegier upp till systemnivå.[6,7]

Sårbarheten i säkerhetsfunktionen Windows Mark of the Web (MOTW) (CVE-2022-41091, CVSS-klassning 5,4) är en dagnollsårbarhet som gör det möjligt för en angripare att kringgå den säkerhetskontroll som MOTW gör av nedladdade filer vilket exempelvis kan innebära att Microsoft Office inte öppnar dokument i skyddat läge.[8]

Microsoft publicerade den 2 november rättningar (CVE-2022-3786 respektive CVE-2022-3602) kopplade till sårbarheterna i OpenSSL som rättades 1 november. [9,10] CERT-SE har tidigare publicerat en artikel om dessa sårbarheter [11].

Uppdatering 2022-11-11

Vissa rapporterar problem vid patchning av domänkontrollanter med Kerberos-authentisering om man tidigare följt Microsofts rekommendationer om best practice kopplat till CVE-2022-37966 [12,13,14]. Dessa innebar att stänga av RC4 som var sårbart och istället enbart använda AES (msDS-SupportedEncryptionTypes = AES only (24)) [15].Tillfällig lösning som föreslås av Fabian Bader [14]:* Enable RC4 and AES for all computers* Reset msDS-SupportedEncryptionTypes on the affected computers* gpupdate /force on the computers* Test-ComputerSecureChannel -Repair to make sure the connection to the DC in orderArtikeln kommer vid behov att uppdateras med ytterligare information.

Uppdatering 2022-11-14

Även Microsoft uppmärksammar i en artikel problematiken med Kerberos-autentiseringen, och skriver att man arbetar på att ta fram en lösning för detta [16].

Uppdatering 2022-11-18

Microsoft har den 17 november publicerat säkerhetsuppdateringar för att hantera problematiken med Kerberos-autentisering hos domänkontrollanter. CERT-SE rekommenderar att följa Microsofts instruktioner. [17]

Påverkade produkter

För en fullständig lista av alla produkter som berörs, se [1].

Rekommendationer

CERT-SE rekommenderar att snarast möjligt installera säkerhetsuppdateringarna.

Källor

[1] https://msrc.microsoft.com/update-guide

[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41128

[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040

[4] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082

[5] https://cert.se/2022/09/ny-attackmetod-i-microsoft-exchange

[6] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41073

[7] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41125

[8] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41091

[9] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-3602

[10] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-3786

[11] https://cert.se/2022/10/sakerhetsuppdatering-fran-openssl

[12] https://www.reddit.com/r/sysadmin/comments/ypbpju/patch_tuesday_megathread_20221108/

[13] https://twitter.com/SteveSyfuhs/status/1590455509781733376

[14] https://infosec.exchange/@fabian_bader/109314459043448025

[15] https://support.microsoft.com/sv-se/topic/kb5021131-s%C3%A5-h%C3%A4r-hanterar-du-kerberos-protokoll%C3%A4ndringar-relaterade-till-cve-2022-37966-fd837ac3-cdec-4e76-a6ec-86e67501407d

[16] https://learn.microsoft.com/en-us/windows/release-health/status-windows-11-22h2#2953msgdesc

[17] https://learn.microsoft.com/en-us/windows/release-health/windows-message-center#2961