É a última terça-feira de patches de 2021 e a Microsoft entregou correções para 67 vulnerabilidades, incluindo uma vulnerabilidade falsificada (CVE-2021-43890) explorada ativamente para fornecer a família de malware Emotet/Trickbot/Bazaloader.
Vulnerabilidades dignas de nota neste lote de patches
Das 67 falhas numeradas pelo CVE, o CVE-2021-43890 – uma vulnerabilidade falsificada do Windows AppX Installer – será, compreensivelmente, uma prioridade de patch.
“O CVE-2021-43890 permite que um invasor crie um arquivo de pacote malicioso e, em seguida, modifique-o para parecer um aplicativo legítimo, e tem sido usado para fornecer malware Emotet, que voltou este ano. O patch deve significar que os pacotes não podem mais ser falsificados para parecer válidos, mas não impedirá que os invasores enviem links ou anexos a esses arquivos”, observou Kevin Breen, Diretor de Pesquisa de Ameaças Cibernéticas da Immersive Labs.
Ele também considera o CVE-2021-43905, uma vulnerabilidade RCE não autenticada no aplicativo Microsoft Office, importante corrigir rapidamente, pois tem uma alta pontuação CVSS de 9,6 e a Microsoft considera sua exploração “mais provável”.
“Muito pouco é dado no aviso para identificar qual é o risco imediato – ele simplesmente afirma o produto afetado como ‘Office App’. Isso pode dificultar que as equipes de segurança priorizem ou implementem mitigações se o patch rápido não estiver disponível – especialmente quando as equipes de segurança já estão amarradas a outros patches críticos”, acrescentou.
Dustin Childs, com a Zero Day Initiative da Trend Micro, aconselha os usuários que desativaram as atualizações automáticas da Microsoft Store a atualizar o aplicativo manualmente.
Ele também destacou o CVE-2021-43215, uma vulnerabilidade iSNS Server RCE, como digno de nota.
Este patch corrige um bug no servidor iSNS (Internet Storage Name Service) que poderia permitir a execução remota de código se um invasor enviasse uma solicitação especialmente criada para um servidor afetado.
“Se você não estiver familiarizado com isso, o iSNS é um protocolo que permite a descoberta e o gerenciamento automatizados de dispositivos iSCSI em uma rede de armazenamento TCP/IP. Em outras palavras, se você estiver executando uma SAN em sua empresa, terá um servidor iSNS ou configurará cada uma das interfaces lógicas individualmente. Se você tem uma SAN, priorize testar e implantar este patch”, aconselhou ele.
Para explorar essa vulnerabilidade, um invasor deve simplesmente enviar uma solicitação especialmente criada para o servidor de destino.
“Como este protocolo é usado para facilitar o armazenamento de dados pela rede, seria um alvo de alta prioridade para atacantes que procuram danificar a capacidade de uma organização de se recuperar de ataques como ransomware. Esses serviços também são tipicamente confiáveis do ponto de vista da rede – o que é outra razão pela qual os atacantes escolheriam esse tipo de alvo”, observou Breen.
“Este é fundamental para corrigir rapidamente se você operar serviços iSNS – mas lembre-se de que este não é um componente padrão, então verifique isso antes de aumentar a lista.”
Depois temos o CVE-2021-43883, uma elevação de vulnerabilidade de privilégio no Windows Installer.
“Esta parece ser uma correção para um desvio de patch do CVE-2021-41379, outra elevação da vulnerabilidade de privilégios no Windows Installer que teria sido corrigida em novembro. No entanto, os pesquisadores descobriram que a correção estava incompleta e uma prova de conceito foi tornada pública no final do mês passado”, disse Satnam Narang, Engenheiro de Pesquisa da Tenable, à Help Net Security.
“O CVE-2021-43883 afeta as versões servidor e desktop do Windows e permite que um usuário local escalone seus privilégios, e esse tipo de vulnerabilidade é muito procurado por invasores que procuram se mover lateralmente por uma rede. Depois de ganhar a posição inicial, alcançar o acesso em nível de administrador pode permitir que atacantes desativem ferramentas de segurança e implantem malware ou ferramentas adicionais como Mimikatz. Quase todos os ataques de ransomware no último ano empregaram alguma forma de escalonamento de privilégios como um componente-chave do ataque antes do lançamento do ransomware”, acrescentou Breen.
FONTE: HELPNET SECURITY