Botched and silent patches from Microsoft put customers at risk, critics say

Shadowy figures stand beneath a Microsoft logo on a faux wood wall.

Blame is mounting on Microsoft for what critics say is a lack of transparency and adequate speed when responding to reports of vulnerabilities threatening its customers, security professionals said.

Microsoft’s latest failing came to light on Tuesday in a post that showed Microsoft taking five months and three patches before successfully fixing a critical vulnerability in Azure. Orca Security first informed Microsoft in early January of the flaw, which resided in the Synapse Analytics component of the cloud service and also affected the Azure Data Factory. It gave anyone with an Azure account the ability to access the resources of other customers.

From there, Orca Security researcher Tzah Pahima said, an attacker could:

  • Gain authorization inside other customer accounts while acting as their Synapse workspace. We could have accessed even more resources inside a customer’s account depending on the configuration.
  • Leak credentials customers stored in their Synapse workspace.
  • Communicate with other customers’ integration runtimes. We could leverage this to run remote code (RCE) on any customer’s integration runtimes.
  • Take control of the Azure batch pool managing all of the shared integration runtimes. We could run code on every instance.

Third time’s the charm

Despite the urgency of the vulnerability, Microsoft responders were slow to grasp its severity, Pahima said. Microsoft botched the first two patches, and it wasn’t until Tuesday that Microsoft issued an update that entirely fixed the flaw. A timeline Pahima provided shows just how much time and work it took his company to shepherd Microsoft through the remediation process.

  • January 4 – The Orca Security research team disclosed the vulnerability to the Microsoft Security Response Center (MSRC), along with keys and certificates we were able to extract.
  • February 19 & March 4 – MSRC requested additional details to aid its investigation. Each time, we responded the next day.
  • Late March – MSRC deployed the initial patch.
  • March 30 – Orca was able to bypass the patch. Synapse remained vulnerable.
  • March 31 – Azure awards us $60,000 for our discovery.
  • April 4 (90 days after disclosure) – Orca Security notifies Microsoft that keys and certificates are still valid. Orca still had Synapse management server access.
  • April 7 – Orca met with MSRC to clarify the implications of the vulnerability and the required steps to fix it in its entirety.
  • April 10 – MSRC patches the bypass, and finally revokes the Synapse management server certificate. Orca was able to bypass the patch yet again. Synapse remained vulnerable.
  • April 15 – MSRC deploys the 3rd patch, fixing the RCE and reported attack vectors.
  • May 9 – Both Orca Security and MSRC publish blogs outlining the vulnerability, mitigations, and recommendations for customers.
  • End of May – Microsoft deploys more comprehensive tenant isolation including ephemeral instances and scoped tokens for the shared Azure Integration Runtimes.

Silent fix, no notification

The account came 24 hours after security firm Tenable related a similar tale of Microsoft failing to transparently fix vulnerabilities that also involved Azure Synapse. In a post headlined Microsoft’s Vulnerability Practices Put Customers At Risk, Tenable Chairman and CEO Amit Yoran complained of a “lack of transparency in cybersecurity” Microsoft showed one day before the 90-day embargo lifted on critical vulnerabilities his company had privately reported.

He wrote:

Both of these vulnerabilities were exploitable by anyone using the Azure Synapse service. After evaluating the situation, Microsoft decided to silently patch one of the problems, downplaying the risk. It was only after being told that we were going to go public, that their story changed… 89 days after the initial vulnerability notification…when they privately acknowledged the severity of the security issue. To date, Microsoft customers have not been notified.

Tenable has technical details here.

Critics have also called out Microsoft for failing to fix a critical Windows vulnerability called Follina until it had been actively exploited in the wild for more than seven weeks. The exploit method was first described in a 2020 academic paper. Then in April, researchers from Shadow Chaser Group said on Twitter that they had reported to Microsoft that Follina was being exploited in an ongoing malicious spam run and even included the exploit file used in the campaign.

For reasons Microsoft has yet to explain, the company didn’t declare the reported behavior as a vulnerability until two weeks ago and didn’t release a formal patch until Tuesday.

For its part, Microsoft is defending its practices and has provided this post detailing the work involved in fixing the Azure vulnerability found by Orca Security.

In a statement, company officials wrote: “We are deeply committed to protecting our customers and we believe security is a team sport. We appreciate our partnerships with the security community, which enables our work to protect customers. The release of a security update is a balance between quality and timeliness, and we consider the need to minimize customer disruptions while improving protection.”

https://arstechnica.com/?p=1860900




Bug Follina di Windows sfruttato da APT cinese


Hacker legati al governo cinese stanno attivamente sfruttando la vulnerabilità di Windows chiamata Follina per eseguire codice malevolo sulle macchine delle vittime

La vulnerabilità CVE-2022-30190, soprannominata Follina, è già comparsa sulle pagine di Security info perché espone gli utenti del sistema operativo di Microsoft (Windows 7 o successivo e Windows Server 2008 o successivo) al rischio di esecuzione di codice remoto (RCE).

Proofpoint ha reso noto sul suo account Twitter Threat Insight che l’APT cinese TA413, legata al governo di Pechino e nota in Europa per gli attacchi sferrati con il suo trojan Sepulcher nel 2020, la sta sfruttando attivamente.

Con la sigla APT (Advanced Persistent Threat, ossia minaccia avanzata e persistente), si indicano cyber criminali con elevate competenze tecniche e grandi risorse umane e finanziarie, in grado di sferrare attacchi su larga scala e per periodi di tempo prolungati.

L’obiettivo degli attacchi di TA413 è in questo caso il suo tradizionale bersaglio, la comunità Tibetana. Fanno scaricare da Internet alle vittime degli archivi zip che contengono documenti Word che eseguono codice malevolo attraverso lo Strumento di diagnostica supporto tecnico (MSDT da Microsoft Microsoft Diagnostic Tool).

I pirati impersonano il “Women Empowerments Desk” dell’Amministrazione centrale tibetana, legato all’affermazione dei diritti delle donne, e usano il dominio tibet-gov.web[.]app. Per consentire l’attacco la vittima deve solo aprire il documento Word o venderne l’anteprima.

I ricercatori di MalwareHunterTeam hanno inoltre rilevato attacchi che sfruttano documenti Word con nomi cinesi che vengono usati per installare payload malevoli da http://coolrat[.]xyz. Si tratta di trojan per il furto delle password.

I primi attacchi sferrati sfruttando questa vulnerabilità risalgono infine a circa un mese fa. Come riportato da Rich Warren di NCC Group Research & Technology era usata per estorsioni a sfondo sessuale (sextortion). Il ricercatore Jazi ha invece individuato lo sfruttamento del bug attraverso falsi inviti a partecipare a interviste sulla radio russa Sputnik a proposito della guerra in Ucraina.

Per proteggersi dagli attacchi Microsoft consiglia di disabilitare il protocollo MSDT URL sfruttato dai pirati per eseguire il codice remoto. L’analista Will Dormann suggerisce inoltre di disabilitare l’anteprima in Windows Explorer, in quanto può essere sfruttata per gli attacchi. Sono infine disponibili delle micropatch gratuite di 0patch.

Condividi l’articolo



Articoli correlati

Altro in questa categoria


https://www.securityinfo.it/2022/06/03/bug-follina-di-windows-sfruttato-da-apt-cinese/?utm_source=rss&utm_medium=rss&utm_campaign=bug-follina-di-windows-sfruttato-da-apt-cinese




Patch non ufficiale disponibile per la vulnerabilità Follina


0patch ha reso disponibili delle micropatch che bloccano gli attacchi a sistemi Windows sferrati sfruttando la vulnerabilità critica Follina

Il blog 0patch di ACROS Security ha pubblicato delle patch per la vulnerabilità Follina dei sistemi basati su Windows, non ancora risolta dal produttore.

Abbiamo già parlato su Security info del bug, ora identificato come CVE-2022-30190, sfruttato principalmente in documenti Word malevoli che eseguono comandi PowerShell attraverso lo Strumento di diagnostica supporto tecnico (MSDT da Microsoft Microsoft Diagnostic Tool).

Permette l’esecuzione di codice remoto e colpisce le versioni di Windows a partire dalla 7 e di Windows Server dall’edizione 2008. I pirati possono sfruttarla per installare programmi, vedere e alterare (o cancellare) i dati.

Per ora il consiglio di Microsoft per tamponare il problema e bloccare gli attacchi è di disabilitare il protocollo MSDT URL sfruttato dai pirati per eseguire il codice remoto.

0patch offre micropatch per risolvere il problema su Windows 11 v21H2, Windows 10 (versioni dalla v1803 alla v21H2), Windows 7 e Windows Server 2008 R2. Le micropatch sono aggiornamenti di dimensioni molto ridotte che possono risolvere falle di sicurezza senza richiedere riavvii dei programmi o dei sistemi.

Invece di disabilitare il protocollo, queste micropatch intervengono a livello del percorso fornito dall’utente, in modo da non compromettere la diagnostica di Windows per tutte le applicazioni. I ricercatori di 0patch hanno inoltre evidenziato che la vulnerabilità può essere sfruttata attraverso altri vettori di attacco anche su computer che non hanno installato Office.

Per utilizzare le micropatch, gli utenti devono creare un account gratuito in 0patch Central per poi installare e registrare 0patch Agent e 0patch.com. Il resto della procedura è automatizzato e non è necessario riavviare il computer.

Condividi l’articolo



Articoli correlati

Altro in questa categoria


https://www.securityinfo.it/2022/06/02/patch-non-ufficiale-disponibile-per-la-vulnerabilita-follina/?utm_source=rss&utm_medium=rss&utm_campaign=patch-non-ufficiale-disponibile-per-la-vulnerabilita-follina