0
0
A Microsoft emitiu correções para três bugs de dia zero que os invasores estão explorando ativamente na natureza.
Um deles, rastreado como CVE-2023-21715 , é uma vulnerabilidade de desvio de recurso de segurança no Microsoft Office que oferece aos invasores uma maneira de ignorar as políticas de macro do Office para bloquear arquivos e conteúdo não confiáveis. A segunda é uma vulnerabilidade de elevação de privilégio no Windows Common Log File System Driver ( CVE-2023-23376 ), que permite que um invasor obtenha privilégios no nível do sistema. O terceiro é o CVE-2023-21823 , um bug de execução remota de código (RCE) no Windows Graphics Component que também permite que um invasor obtenha acesso no nível do sistema.
O Trio Dia Zero
As três vulnerabilidades de dia zero faziam parte de um conjunto substancialmente maior de 78 novos CVEs que a Microsoft divulgou em sua atualização de segurança mensal na terça-feira. A empresa avaliou nove dessas falhas como sendo de gravidade “crítica” e 66 como apresentando uma ameaça “importante” para as organizações.
Quase metade das vulnerabilidades (38) que a Microsoft divulgou este mês eram bugs de execução remota de código (RCE) — uma categoria de falhas que os pesquisadores de segurança consideram especialmente séria. Bugs de elevação de privilégio representaram a próxima categoria mais alta, seguidos por falhas de negação de serviço e vulnerabilidades de falsificação.
Dustin Childs, chefe de conscientização de ameaças da ZDI da Trend Micro, que relatou oito das vulnerabilidades na atualização deste mês, diz que todos os bugs que estão sob ataque ativo representam um risco crítico porque os agentes de ameaças já os estão usando.
“O bug do componente gráfico (CVE-2023-21823) me preocupa por duas razões”, diz ele. “Como isso foi encontrado pela Mandiant, provavelmente foi descoberto por uma equipe trabalhando em uma resposta a incidentes”, diz Childs. Isso significa que não está claro por quanto tempo os agentes de ameaças podem estar usando isso. Também preocupante é que a atualização está disponível na loja da Microsoft, observa ele.
“As pessoas que estão desconectadas ou bloqueadas na loja precisarão aplicar manualmente a atualização”, diz ele.
Childs diz que, com base na descrição da Microsoft de CVE-2023-21715, a vulnerabilidade de bypass do recurso de segurança no Microsoft Office parece mais um problema de elevação de privilégio. “É sempre alarmante quando um recurso de segurança não é apenas contornado, mas explorado. Esperemos que a correção resolva o problema de forma abrangente.”
Por fim, todos os três bugs que os invasores estão explorando ativamente são motivo de preocupação. Mas um agente de ameaça ainda precisaria usar cada um desses bugs em combinação com alguma forma de bug de execução de código para assumir o controle de um sistema, diz Childs.
A Automox recomenda que as organizações que usam o Microsoft 365 Applications for Enterprise apliquem o patch CVE-2023-2175 em 24 horas. “Esta vulnerabilidade é um dia zero explorado ativamente que permite aos invasores criar um arquivo para ignorar os recursos de segurança do Office”, disse Automox em um post de blog. Ele permite que os invasores “potencialmente executem código malicioso em dispositivos de usuários finais se puderem coagir os usuários a baixar e abrir arquivos em dispositivos vulneráveis por meio de engenharia social”.
Novas ameaças do Exchange Server
Satnam Narang, engenheiro de pesquisa sênior da Tenable, destacou três vulnerabilidades do Microsoft Exchange Server ( CVE-2023-21706 , CVE-2023-21707 , CVE-2023-21529 ) como problemas que as organizações devem observar porque a Microsoft os identificou como falhas que os invasores são mais propensos a explorar.
“Nos últimos anos, os Microsoft Exchange Servers em todo o mundo foram atingidos por várias vulnerabilidades, de ProxyLogon a ProxyShell e, mais recentemente, ProxyNotShell, OWASSRF e TabeShell”, disse Narang em um comunicado.
As falhas de câmbio tornaram-se mercadorias valiosas para os atores de ameaças patrocinados padrão nos últimos anos, disse ele. “Sugerimos enfaticamente que as organizações que dependem do Microsoft Exchange Server garantam a aplicação das atualizações cumulativas mais recentes para o Exchange Server.”
Erros RCE no Microsoft PEAP
Enquanto isso, pesquisadores do grupo de inteligência de ameaças Talos da Cisco apontaram três bugs RCE no Microsoft Protected Extensible Authentication Protocol (PEAP) como estando entre os bugs mais críticos na atualização de segurança da Microsoft para fevereiro de 2023.
As falhas, rastreadas como CVE-2023-21689 , CVE-2023-21690 e CVE-2023-21692 , permitem que um invasor autenticado tente acionar um código malicioso no contexto da conta do servidor.
“Quase todas as versões do Windows são vulneráveis, incluindo o mais recente Windows 11”, disse a empresa em um comunicado.
CVE-2023-21689 – uma das três vulnerabilidades críticas no PEAP – permite que os invasores obtenham contas de servidor para acionar código malicioso por meio de uma chamada de rede, de acordo com a Automox.
“Como é muito provável que essa vulnerabilidade seja direcionada e seja relativamente simples para os invasores explorarem, recomendamos corrigir ou garantir que o PEAP não seja configurado como um tipo de EAP permitido em sua política de rede”, disse a empresa em seu post. As organizações afetadas – aquelas que possuem clientes Windows com Network Policy Server em execução e possuem uma política que permite PEAP – devem corrigir a falha em 72 horas, aconselhou a Automox.
FONTE: DARK READING