Outubro Patch Tuesday: Microsoft Patches Critical, Wormable RCE Bug

Views: 502
0 0
Read Time:8 Minute, 6 Second

Havia 11 bugs críticos e seis que não eram reparados, mas conhecidos publicamente nas atualizações regulares da Microsoft deste mês.

A Microsoft adiou correções para 87 vulnerabilidades de segurança em outubro – 11 delas críticas – e uma delas é potencialmente wormable.

O patch tuesday deste mês inclui correções para bugs no Microsoft Windows, Office e Office Services e Web Apps, Funções Azure, Software de Código Aberto, Servidor de Câmbio, Visual Studio, .NET Framework, Microsoft Dynamics e na Biblioteca de Códigos do Windows.

Um 75 completo são listados como importantes, e apenas um é listado como moderado em gravidade. Nenhum deles está listado como sendo um ataque ativo, mas o grupo inclui seis problemas que eram conhecidos, mas não remarcados antes das atualizações regulares programadas deste mês.

“Como de costume, sempre que possível, é melhor priorizar atualizações contra o sistema operacional Windows”, disse Richard Tsang, engenheiro sênior de software da Rapid7, ao Threatpost. “Chegando a 53 das 87 vulnerabilidades, corrigir o SO elimina 60% das vulnerabilidades listadas, juntamente com mais da metade das vulnerabilidades críticas do RCE resolvidas hoje.”

11 Bugs Críticos

Um dos bugs críticos mais notáveis, segundo os pesquisadores, é um problema remoto de execução de código (RCE) na pilha TCP/IP. Essa questão (CVE-2020-16898) permite que os invasores executem código arbitrário com privilégios elevados usando um anúncio de roteador ICMPv6 especialmente elaborado.

A Microsoft dá a esse bug sua maior classificação de explorabilidade, o que significa que os ataques na natureza são extremamente prováveis – e, como tal, ele carrega uma classificação de gravidade de 9,8 de 10 na escala de vulnerabilidade do CvSS. Fiel à temporada, pode ser um show de terror de um administrador.

“Se você está executando uma rede IPv6, você sabe que filtrar anúncios de roteador não é uma solução prática”, disse Dustin Childs, pesquisador da Trend Micro’s Zero-Day Initiative (ZDI), em sua análise patch tuesday. “Você definitivamente deve testar e implantar este patch o mais rápido possível.”

Bharat Jogi, gerente sênior de pesquisa de vulnerabilidades e ameaças da Qualys, disse que uma exploração para o bug pode ser auto-propagação, através da infraestrutura sem interação do usuário.

“Um invasor pode explorar essa vulnerabilidade sem qualquer autenticação, e é potencialmente wormable”, disse ele. “Esperamos que uma prova de conceito (PoC) para essa exploração seja descartada em breve, e encorajamos muito todos a corrigir essa vulnerabilidade o mais rápido possível.”

Threatpost procurou mais detalhes técnicos sobre o aspecto wormable do bug.

“Felizmente, se a correção imediata não for viável devido ao agendamento de reinicialização, a Microsoft fornece comandos baseados no PowerShell para desativar o ICMPv6 RDNSS nos sistemas operacionais afetados”, disse Tsang. “O comando PowerShell ‘netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable’ não requer uma reinicialização para fazer efeito.”

Outra das falhas críticas é um bug RCE no Microsoft Outlook (CVE-2020-16947). O bug pode ser acionado enviando um e-mail especialmente elaborado para um alvo; e como o Preview Pane é um vetor de ataque, as vítimas não precisam abrir o e-mail para serem infectadas (o ZDI já tem uma prova de conceito para isso). Ele também pode ser usado em um ataque baseado na Web, convencendo os usuários a visitar uma URL maliciosa que aciona conteúdo.

“A falha específica existe dentro da análise do conteúdo HTML em um e-mail. O problema resulta da falta de validação adequada do comprimento dos dados fornecidos pelo usuário antes de copiá-los para um buffer baseado em montes de comprimento fixo”, de acordo com childs. Esse bug é avaliado em 8.1 na escala CvSS.

Um bug RCE crítico do Windows Hyper-V(CVE-2020-16891, 8.8 na escala CvSS) permite que um invasor execute um programa especialmente criado em um sistema operacional convidado afetado para executar código arbitrário no sistema operacional host.

E, outros problemas críticos impactam o Windows Camera Codec (CVE-2020-16967 e CVE-2020-16968, ambos 7.8 na escala CvSS), ambos resultantes da falta de validação adequada dos dados fornecidos pelo usuário, o que pode resultar em uma gravação após o final de um buffer alocado.

“Se o usuário atual estiver conectado com os direitos administrativos do usuário, um invasor poderá assumir o controle do sistema afetado”, de acordo com a Microsoft. “Um invasor poderia então instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos plenos do usuário. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema podem ser menos impactados do que os usuários que operam com direitos administrativos do usuário.”

Duas outras falhas críticas são os problemas de RCE no SharePoint Server (CVE-2020-16951 e CVE-2020-16952, ambos 8,6 na escala CvSS). Eles exploram uma lacuna na verificação da marcação de origem de um pacote de aplicativos. Após uma exploração bem-sucedida, o invasor pode executar código arbitrário no contexto do pool de aplicativos SharePoint ou da conta da fazenda do servidor.

“Em ambos os casos, o invasor precisaria carregar um pacote de aplicativo SharePoint especialmente criado para uma versão afetada do SharePoint para obter execução arbitrária de código”, explicou Childs. “Isso pode ser feito por um usuário não desprivilegiado do SharePoint se a configuração do servidor permitir.”

Tsang acrescentou que os PoCs estão “começando a fluir na natureza, então trazer um encerramento para este par de vulnerabilidades críticas de execução de código remoto é uma obrigação”.

Os demais bugs críticos são problemas de RCE na Media Foundation Library (CVE-2020-16915, classificação 7.8); o motor de renderização Base3D (CVE-2020-17003, classificação 7.8); Componentes gráficos (CVE-2020-16923, classificação 7.8); e a Interface do Dispositivo Gráfico do Windows (GDI) (CVE-2020-16911, classificação 8.8).

Em relação a esta última, a vulnerabilidade existe na forma como o GDI lida com objetos na memória, de acordo com Allan Liska, arquiteto sênior de segurança da Recorded Future.

“A exploração bem-sucedida poderia permitir que um invasor ganhasse o controle do sistema infectado com os mesmos privilégios administrativos que a vítima”, disse ele, por e-mail. “Essa vulnerabilidade pode ser explorada enganando uma vítima para visitar um site comprometido com um documento especialmente elaborado ou abrindo um documento especialmente elaborado através de um ataque de phishing.”

Tsang acrescentou: “Um fator atenuante aqui é que usuários com menos privilégios no sistema poderiam ser menos impactados, mas ainda enfatiza a importância de uma boa higiene de segurança, pois a exploração requer convencer um usuário a abrir um arquivo especialmente elaborado ou a visualizar conteúdo controlado pelo invasor. Ao contrário do CVE-2020-16898, no entanto, essa vulnerabilidade afeta todas as versões suportadas do sistema operacional Windows, o que pode sugerir afetar versões não suportadas/anteriores do Windows também.”

6 bugs conhecidos publicamente

Há também meia dúzia de vulnerabilidades que não foram reparadas até este mês, mas que foram publicamente conhecidas.

“A divulgação pública pode significar algumas coisas”, disse Todd Schell, gerente sênior de produtos de segurança da Ivanti, ao Threatpost. “Pode ser que uma demonstração de exploração tenha sido realizada em um evento ou por um pesquisador. Também pode significar que um código PoC foi disponibilizado. De qualquer forma, uma divulgação pública significa que os atores de ameaças têm um aviso avançado de uma vulnerabilidade e isso lhes dá uma vantagem.”

tempo médio para explorar uma vulnerabilidade a partir do momento de sua divulgação é de 22 dias,de acordo com um estudo do Instituto RAND.

Quando se trata desses bugs conhecidos publicamente, um problema de elevação de privilégios do Windows Error Reporting (CVE-2020-16909) se destaca, de acordo com Childs, dado que bugs no componente WER foram recentemente relatados como sendo usados na natureza em ataques sem arquivo.

Os seis bugs divulgados publicamente. Fonte: Trend Micro’s ZDI.

Quanto aos outros, dois são bugs EoP, no componente configuração do Windows e no Driver VSP do Windows Storage; dois são problemas de divulgação de informações no kernel; e um é um problema de divulgação de informações no .NET Framework.

“Esses bugs de divulgação de informações vazam o conteúdo da memória do kernel, mas não expõem nenhuma informação pessoalmente identificável”, disse Childs.

A carga de patch mais leve de 87 correções é uma partida significativa dos mais de 110 patches que a gigante do software lançou todos os meses desde março.

“As equipes de segurança ainda estão se recuperando dos esforços em torno da redução da exposição ao CVE-2020-1472 (Zerologon), e a terça-feira de hoje, felizmente, traz uma carga ligeiramente clara de vulnerabilidades em comparação com os sete meses anteriores, sem que as vulnerabilidades atualmente sejam exploradas na natureza”, disse Jonathan Cran, chefe de pesquisa da Kenna Security, ao Threatpost. “Dito isto, várias das vulnerabilidades na atualização de hoje devem ser tratadas com prioridade devido à sua utilidade aos atacantes [os bugs críticos na pilha Win10 IPv6, Outlook e Hyper-V]. Todas essas vulnerabilidades caem no balde ‘patch quickly or monitore de perto’.”

Além disso, alguns produtos estavam notavelmente ausentes da lista de correções.

“Há algumas coisas interessantes este mês”, disse Schell ao Threatpost. “Não há vulnerabilidades do navegador sendo resolvidas. No momento do lançamento, a Microsoft não tinha nenhum CVEs relatado contra iE ou Edge e nenhuma listagem dos navegadores como produtos afetados este mês. Não tenho certeza se eu me lembro da última vez que isso aconteceu.

O Patch Tuesday começa este mês quando a Microsoft lança a pré-visualização de seu novo guia de atualização.

“Ele proporcionou algumas melhorias agradáveis”, disse Schell. “O acesso rápido a mais informações focadas em riscos pode ser encontrado na visualização de vulnerabilidades. Colunas como ‘Explorado’ e ‘Divulgado publicamente’ permitem classificar e visualizar rapidamente se houver itens de alto risco.”

FONTE: THREATPOST

POSTS RELACIONADOS