CISA menempatkan thumbscrews pada agen federal untuk membuat mereka menambal kerentanan Windows yang dieksploitasi secara aktif.

Pada hari Jumat, Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) mengumumkan bahwa mereka menambahkan kerentanan – dilacak sebagai CVE-2022-21882 dan dengan CVSS peringkat kekritisan 7,0 – untuk Katalog Kerentanan yang Diketahui Eksploitasi.

Langkah ini berarti bahwa lembaga Federal Civilian Executive Branch (FCEB) memiliki waktu hingga 18 Februari 2022 untuk memulihkan kerentanan, yang memengaruhi semua versi Windows 10 yang belum ditambal. kerentanan adalah vektor serangan yang sering dilakukan oleh semua jenis pelaku cyber jahat dan menimbulkan risiko signifikan bagi perusahaan federal,” kata CISA.

Eksploitasi Kemungkinan

CVE-2022-21882 adalah bug eskalasi hak istimewa di Windows 10 yang tidak memerlukan banyak cara hak istimewa untuk dieksploitasi: skenario buruk, terutama mengingat bahwa eksploitasi memerlukan interaksi pengguna nol.

Ini telah ditandai w dengan penilaian indeks eksploitabilitas "Eksploitasi Lebih Mungkin".

Microsoft menangani bug tersebut sebagai bagian dari pembaruan Patch Tuesday Januari 2022: satu set tambalan luas yang menangani 97 kerentanan keamanan, sembilan di antaranya adalah CVE kritis, termasuk self-propagator dengan skor CVSS 9,8.

Tambalan Meledak Januari Selasa

Sayangnya, terlepas dari kenyataan bahwa itu adalah Patch Selasa gemuk yang diisi penuh dengan patch kritis, itu juga Patch Selasa gemuk yang kemungkinan banyak organisasi mengembangkan reaksi alergi.

Itu karena, setidaknya untuk beberapa pelanggan, pembaruan segera meledak, merusak Windows, menyebabkan boot loop spontan pada server pengontrol domain Windows, memecahkan Hyper-V dan membuat sistem volume ReFS tidak tersedia.

Dalam dua hari setelah rilis 11 Januari, Microsoft telah menarik kumulatif Windows Server Januari pembaruan, menjadikannya tidak tersedia melalui Pembaruan Windows.

PoC Telah Keluar Selama Berminggu-minggu

A proof-o Eksploitasi f-concept (PoC) untuk CVE-2022-21882, yang telah ditangani Microsoft sebagai bagian dari pembaruan Patch Tuesday Januari 2022, telah tersedia di alam liar selama beberapa minggu. PoC dirilis oleh Gil Dabah, pendiri dan CEO Privacy Piiano, yang menawarkan “PII by design”. Microsoft masih berutang uang kepadanya untuk "hal-hal lain," seperti yang dia klaim. Selain itu, dia tidak senang dengan penghargaan bug bounty Microsoft yang menyusut, yang "mengurangi penghargaan menjadi hampir tidak ada," kata Dabah.
Alasan saya tidak mengungkapkannya, adalah karena saya menunggu untuk dibayar oleh Msft untuk waktu yang lama untuk orang lain. hal-hal. Pada saat mereka membayar, mereka mengurangi penghargaan menjadi hampir tidak ada. Saya sudah sibuk dengan startup saya dan begitulah ceritanya bagaimana hal itu tidak diperbaiki. @ja_wreckhttps://t.co/PtRuNDAEYQ

— Gil Dabah (@_arkon) 28 Januari 2022



Pada hari Jumat, CISA mengatakan bahwa mereka menambahkan bug ke basis data kerentanan yang diketahui telah dieksploitasi berdasarkan bukti bahwa pelaku ancaman secara aktif mengeksploitasinya. Meskipun tenggat waktu perbaikan CISA hanya berlaku untuk agensi FCEB, CISA memiliki pengaruh, dan CISA berharap dapat menggunakannya untuk meyakinkan pakaian non-federal untuk menambal.

“CISA sangat mendesak semua organisasi untuk mengurangi paparan mereka terhadap serangan siber dengan memprioritaskan perbaikan Katalog yang tepat waktu kerentanan mereka sebagai bagian dari praktik manajemen kerentanan mereka,” menurut pemberitahuannya.