Patches da Microsoft exploraram ativamente o dia zero do Windows (CVE-2021-40449)

Views: 44
0 0
Read Time:4 Minute, 14 Second

Na terça-feira de Patches de outubro de 2021, a Microsoft corrigiu 71 vulnerabilidades numeradas pelo CVE. Desses, apenas um era um dia zero explorado em ataques na natureza (CVE-2021-40449) e três eram conhecidos publicamente antes do lançamento dos patches.

Vulnerabilidades de nota

Vamos começar com o CVE-2021-40449, um bug do Windows que pode ser usado para escalonar privilégios em um sistema já comprometido.

Sua exploração foi detectada e sinalizada por Boris Larin, um caçador de façanhas de dia zero com Kaspersky. De acordo com a empresa, ele foi aproveitado para atingir servidores Microsoft Windows.

“Além de encontrar o dia zero na natureza, analisamos a carga útil de malware usada junto com a exploração de dia zero e descobrimos que variantes do malware foram detectadas em campanhas de espionagem generalizadas contra empresas de TI, contratados militares/de defesa e entidades diplomáticas”, compartilharam Larin e o colega Costin Raiu.

Kevin Breen, Diretor de Pesquisa de Ameaças Cibernéticas da Immersive Labs, diz que essa vulnerabilidade definitivamente deve ser uma prioridade de patch. “Ganhor [direitos de administrador] em um host comprometido é o primeiro passo para se tornar um administrador de domínio – e garantir acesso total a uma rede. Quase todos os ataques de ransomware relatados este ano incluíram o uso de uma ou mais vulnerabilidades de escalonamento de privilégios como parte do fluxo de trabalho do invasor, então isso é realmente sério.”

CVE-2021-40486 é um bug do MS Word que permitiria a execução do código quando um documento do Word especialmente criado fosse visualizado em um sistema afetado.

“Embora a Microsoft liste a interação do usuário necessária, o Painel de Visualização também é listado como um vetor de ataque. Isso cria uma superfície de ataque muito maior. Quando combinado com um escalonamento de privilégios – como o atualmente sob ataque ativo – isso poderia ser usado para assumir um sistema de destino”, observou Dustin Childs, com a Iniciativa Dia Zero da Trend Micro.

Ele também apontou que existem cinco bugs de desvio de recursos de segurança corrigidos na versão deste mês, mas lamentou o fato de que a Microsoft forneceu muito poucos detalhes, apesar de um deles ser conhecido publicamente.

CVE-2021-26427 é uma vulnerabilidade RCE do Microsoft Exchange Server que tem a maior pontuação CVSS este mês (9,0).

“O bug certamente receberá seu quinhão de atenção, pelo menos, devido a ser relatado pela Agência de Segurança Nacional (NSA)”, ressaltou Childs.

“Este bug não é tão grave, já que esse exploit é limitado no nível do protocolo a uma topologia logicamente adjacente e não pode ser acessado pela Internet. Essa falha, combinada com os outros bugs do Exchange corrigidos este mês, deve manter os administradores do Exchange ocupados por um tempo.”

Childs também pediu àqueles que usam o controle de edição de rich text no Power Apps a testar e implantar o patch para CVE-2021-40454 rapidamente.

“Não costumamos destacar bugs de divulgação de informações, mas essa vulnerabilidade vai além de apenas despejar locais de memória aleatórios. Esse bug pode permitir que um invasor recupere senhas de texto claro da memória, mesmo no Windows 11.”

As organizações que usam o Windows Hyper-V devem corrigir rapidamente duas vulnerabilidades RCE críticas (CVE-2021-38672 e CVE-2021-40461), uma das quais poderia permitir que uma VM convidada maliciosa lesse a memória do kernel no host e permitisse que uma VM escape de convidado para host.

Finalmente, Satnam Narang, engenheiro de pesquisa da Tenable, apontou o CVE-2021-36970, uma vulnerabilidade falsificação no Windows Print Spooler da Microsoft, como digno de uma solução rápida.

“A vulnerabilidade foi descoberta pelos pesquisadores XueFeng Li e Zhiniang Peng da Sangfor. Eles também foram creditados com a descoberta do CVE-2021-1675, uma das duas vulnerabilidades conhecidas como PrintNightmare. Embora nenhum detalhe tenha sido compartilhado publicamente sobre a falha, este é definitivamente um para observar, já que vimos um fluxo constante de vulnerabilidades relacionadas ao Print Spooler corrigido durante o verão, enquanto grupos de ransomware começaram a incorporar PrintNightmare em seu manual de afiliados. ”

Priorizando patches

Quais vulnerabilidades devem ser corrigidas primeiro? Depende de quais soluções da Microsoft uma organização usa, da gravidade das vulnerabilidades e da probabilidade de uma vulnerabilidade ser explorada mais cedo ou mais tarde.

“Como sempre, você conhece seu próprio risco e quais ativos em sua organização têm mais exposição, então planeje suas atualizações de acordo. Uma coisa que vale a pena considerar, especialmente se você tiver serviços críticos que dependem do tempo de atividade, são seus processos de teste ou reversão. Vimos várias ocasiões em que os patches têm efeitos colaterais não intencionais, então leve isso em conta em seu processo de planejamento”, diz Breen.

“Sempre recomendamos corrigir qualquer coisa que esteja sendo ativamente explorada primeiro. Vulnerabilidades de escalonamento de privilégios sempre pontuam abaixo da execução remota de código, mas são mais comumente usadas por invasores depois de terem esse acesso inicial, então não deixe que a pontuação bruta do CVSS seja sua ordem de prioridade!”

FONTE: HELPNET SECURITY

Previous post Os usuários do Apache OpenOffice devem atualizar para a versão de segurança mais recente!
Next post Hub brasileiro de e-commerce tem 1,75 bi de registros vazados

Deixe um comentário