0
0
A terça-feira de patch de outubro de 2022 chegou, com correções para 85 vulnerabilidades numeradas como CVE, incluindo CVE-2022-41033, uma vulnerabilidade no Windows COM+ Event System Service que foi encontrada sendo explorada à solta.
Mas, em primeiro lugar, deve-se notar que os dois dias zero do MS Exchange sob exploração ativa ( CVE-2022-41040 e CVE-2022-41082 , também conhecido como ProxyNotShell) ainda não foram corrigidos, e os administradores devem se contentar com a Microsoft orientação sobre como mitigá-los até que as correções estejam prontas.
Sobre o CVE-2022-41033
CVE-2022-41033 é uma vulnerabilidade de elevação de privilégio (EoP) no Windows COM+ Event System Service, que distribui automaticamente eventos para componentes COM ( Component Object Model ).
O comunicado da Microsoft não oferece informações sobre como a vulnerabilidade está sendo explorada ou se está sendo explorada em ataques direcionados ou mais generalizados. Eles apenas dizem que a complexidade do ataque é baixa e que não requer interação do usuário para que o invasor possa obter privilégios de SISTEMA.
“Todas as versões do Windows a partir do Windows 7 e Windows Server 2008 são vulneráveis. O Windows COM+ Event System Service é iniciado por padrão com o sistema operacional e é responsável por fornecer notificações sobre logons e logoffs”, diz Mike Walters, vice-presidente de pesquisa de vulnerabilidades e ameaças da Action1 .
“Instalar o patch recém-lançado é obrigatório; caso contrário, um invasor conectado a um computador convidado ou usuário comum pode obter rapidamente privilégios de SISTEMA nesse sistema e ser capaz de fazer quase tudo com ele. Essa vulnerabilidade é especialmente significativa para organizações cuja infraestrutura depende do Windows Server.”
Outras vulnerabilidades para priorizar
O CVE-2022-37968 recebeu a classificação CVSS mais alta (10,0), o que significa que é o mais crítico possível. É outra falha de EoP, mas essa pode permitir que um invasor obtenha controle sobre clusters Kubernetes habilitados para Azure Arc.
“Os dispositivos Azure Stack Edge também podem ser afetados por esse bug. Para explorar isso remotamente, o invasor precisaria conhecer o endpoint DNS gerado aleatoriamente para um cluster Kubernetes habilitado para Azure Arc”, observou Dustin Childs, da Zero Day Initiative da Trend Micro .
“Se você estiver executando esses tipos de contêineres, certifique-se de ter a atualização automática habilitada ou atualizar manualmente para a versão mais recente executando os comandos apropriados na CLI do Azure.”
Childs também considera o CVE-2022-38048 , uma falha do Microsoft Office RCE, um concorrente para correção rápida. A Microsoft raramente considera as falhas do Office críticas, mas nesse caso sim – mesmo que a interação do usuário seja necessária para que ela seja acionada.
“Provavelmente a classificação resulta da falta de caixas de diálogo de aviso ao abrir um arquivo especialmente criado. De qualquer forma, este é um UAF que pode levar à passagem de um ponteiro arbitrário para uma chamada gratuita, o que possibilita mais corrupção de memória”, disse ele.
A Microsoft também corrigiu sete vulnerabilidades críticas no Point-to-Point Tunneling Protocol ( PPTP ), que é um método desatualizado (e geralmente inseguro) para implementar VPNs. Se você usá-lo, você deve implementar os patches, mas este pode ser um bom momento para considerar uma substituição.
Por fim, os usuários do Microsoft SharePoint devem verificar se precisam implementar correções para qualquer uma das quatro falhas de execução remota de código (CVE-2022-41036, CVE-2022-41037, CVE-2022-38053 e https://msrc.microsoft.com /update-guide/vulnerability/CVE-2022-41038) corrigido pela Microsoft neste Patch Tuesday. Embora nenhum deles seja divulgado publicamente, o SharePoint está entre os alvos favoritos dos invasores, portanto, recomenda-se a correção rápida.
FONTE: HELPNET SECURITY