Microsoft, Azure Site Recovery paketinde, saldırganların yükseltilmiş ayrıcalıklar elde etmesine veya uzaktan kod yürütmesine izin verebilecek 32 güvenlik açığını düzeltti.
Azure Site Recovery hizmeti, bir sorun algılandığında iş yüklerini otomatik olarak ikincil konumlara devredecek bir olağanüstü durum kurtarma hizmetidir.
bir parçası olarak Temmuz 2022 Yaması SalıMicrosoft, bugün düzeltilen hataların üçte birinden fazlasını oluşturan Azure Site Recovery güvenlik açığı ile 84 kusuru düzeltti.
Azure Site Recovery’de düzeltilen otuz iki güvenlik açığından ikisi uzaktan kod yürütülmesine izin verir ve otuz güvenlik açığı ayrıcalıkların yükseltilmesine izin verir.
Bugün yayınlanan bir danışma belgesinde Microsoft, SQL enjeksiyon güvenlik açıklarının ayrıcalık yükseltme hatalarının çoğuna neden olduğunu belirtiyor.
Ancak Microsoft, Tenable tarafından keşfedilen bir DLL ele geçirme güvenlik açığının neden olduğu bir CVE-2022-33675 güvenlik açığını da vurguladı.
DLL ele geçirme hatası
DLL ele geçirme hatası şu şekilde izlenir: CVE-2022-33675 ve CVSS v3 önem derecesi 7.8’dir. Microsoft’a ifşa eden Tenable’daki araştırmacılar tarafından keşfedildi. 8 Nisan 2022’de.
DLL ele geçirme saldırıları, bir Windows işletim sisteminin aradığı ve bir uygulama başlatıldığında gereken DLL’leri yüklediği klasörlerdeki güvenli olmayan iznin neden olduğu güvenlik açıklarından yararlanır.
Saldırıyı gerçekleştirmek için bir tehdit aktörü, Azure Site Recovery uygulaması tarafından yüklenen normal bir DLL ile aynı adı kullanarak özel, kötü amaçlı bir DLL oluşturabilir. Bu kötü amaçlı DLL daha sonra Windows’un aradığı bir klasörde depolanır ve uygulama başladığında yüklenmesine ve yürütülmesine neden olur.
Tenable’a göre, ASR’nin “cxprocessserver” hizmeti varsayılan olarak SYSTEM düzeyinde ayrıcalıklarla çalışır ve yürütülebilir dosyası, herhangi bir kullanıcıya ‘yazma’ izinlerine izin vermek için yanlış ayarlanmış bir dizinde bulunur.
Bu, normal kullanıcıların dizine kötü amaçlı DLL’ler (ktmw32.dll) yerleştirmesini mümkün kılar. Şimdi, ‘cxprocessserver’ işlemi başlatıldığında, kötü amaçlı DLL’yi yükleyecek ve komutlarından herhangi birini SYSTEM ayrıcalıklarıyla yürütecektir.
Tenable’dan James Sebree, “DLL korsanlığı, bugünlerde pek rastlamadığımız oldukça eski bir teknik. Bulduğumuzda, güvenlik sınırlarının aşılmaması nedeniyle etki genellikle oldukça sınırlı” diye açıklıyor. bir yazı hata hakkında.
“Ancak bu durumda, net bir güvenlik sınırını geçmeyi başardık ve bir kullanıcıyı SYSTEM düzeyinde izinlere yükseltme yeteneğini gösterdik; bu da, eklenen karmaşıklıklar nedeniyle bulut alanında yeni bir ev bulma konusunda tarihi geçmiş tekniklerin artan eğilimini gösteriyor. bu tür ortamlarda.”
potansiyel etkiler
Saldırgan, hedef sistemde yönetici düzeyinde ayrıcalıklar elde ederek, işletim sistemi güvenlik ayarlarını değiştirmek, kullanıcı hesaplarında değişiklik yapmak, sistemdeki tüm dosyalara kısıtlama olmaksızın erişmek ve ek yazılım yüklemek için özgür olacaktır.
ASR’nin kesintisiz bulut uygulamalarına ve hizmetlerine dayanan kurumsal ortamlarda ne kadar yaygın kullanıldığı göz önüne alındığında, ağ izinsiz girişlerinde çok önemli bir zayıf nokta olarak hizmet edebilir.
Tenable, tehdit aktörlerinin yedeklemeleri silmek ve ücretsiz veri kurtarmayı imkansız kılmak için CVE-2022-33675’ten yararlanabileceği fidye yazılımı saldırıları senaryosunu vurgular. Ancak, bu birçok örnekten sadece biridir.
Microsoft ayrıca bir tavsiye yayınladı Etki bölümünde SQL enjeksiyonu ve uzaktan kod yürütmeden bahsederek bu ay ASR’de düzeltilen tüm sorunlara genel bir bakış sağlamak için.
Bu saldırılar için VM’lerde yönetici kimlik bilgileri gereklidir; bu nedenle, CVE-2022-33675, etki kapsamını genişletmek için bir huni olarak kullanılamaz, ancak hedefte bu kimlik bilgilerinin alınması için zemin hazırlamaya yardımcı olabilir.
Tüm güvenlik sorunlarını gidermek için bu ayın güncellemelerini uyguladığınızdan emin olun. Yamaları uygulayamayanlar, etkilenen dizindeki yazma izni ayarını manuel olarak değiştirerek riski azaltabilir.