0
0
A primeira atualização de segurança da Microsoft para 2023 continha patches para 98 vulnerabilidades, incluindo uma que os invasores estão explorando ativamente e outra que é conhecida publicamente, mas ainda não foi explorada.
A Microsoft identificou 11 das vulnerabilidades divulgadas hoje como sendo de gravidade “crítica”, o que significa que as organizações que usam produtos afetados precisam priorizar essas falhas antes de abordar as outras. Ele classificou as 87 restantes como “Importante”, que é uma classificação que a empresa usa para descrever vulnerabilidades que, se exploradas, podem comprometer a confidencialidade, integridade ou disponibilidade dos dados do usuário, mas muitas vezes não são executáveis remotamente ou requerem algum nível de interação do usuário. .
Bugs em produtos frequentemente atacados
Várias das vulnerabilidades na atualização de segurança de janeiro de 2023 afetam produtos que são os alvos favoritos dos invasores. Cinco deles, por exemplo, afetam o Microsoft Exchange Server e três — incluindo uma das falhas mais graves na atualização deste mês — estão no SharePoint.
“O volume é definitivamente preocupante, especialmente considerando os patches do Exchange e as atualizações do SharePoint”, disse Dustin Childs, gerente de comunicação da Zero Day Initiative (ZDI) da Trend Micro, que relatou 25 dos bugs que a Microsoft fechou hoje. “Esses são alvos comuns – e alvos que muitas vezes não são corrigidos”, observa ele. “Também há atualizações enviadas pela Agência de Segurança Nacional e pelo Estabelecimento de Segurança das Comunicações do Canadá. Isso pode levantar uma ou duas sobrancelhas.”
Vários pesquisadores de segurança identificaram uma vulnerabilidade de bypass do recurso de segurança do Microsoft SharePoint Server CVE-2023-21743 como aquela que as organizações precisam abordar imediatamente devido ao risco que ela apresenta. O bug permite que um invasor não autenticado ignore a autenticação e faça uma conexão anônima com um servidor do SharePoint afetado. Um fator complicador com a vulnerabilidade para as equipes de segurança corporativa é que a correção por si só não é suficiente para mitigar a ameaça que ela apresenta. Além disso, eles também precisam acionar uma atualização do SharePoint, que a Microsoft incluiu na atualização de segurança deste mês para proteger contra atividades de exploração, disse a Microsoft.
“Este não é um bug do tipo ‘conserte e siga em frente'”, diz Childs. “Para lidar totalmente com essa vulnerabilidade, os administradores precisam tomar medidas adicionais, conforme descrito na documentação da atualização”.
Bug de dia zero no Windows ALPC
Outra vulnerabilidade de alta prioridade na atualização de janeiro de 2023 é CVE-2023-21674 , um bug ativamente explorado no Windows Advanced Local Procedure Call (ALPC) que permite que um invasor eleve privilégios em um sistema comprometido. A vulnerabilidade de dia zero afeta todas as versões do sistema operacional Windows e pode permitir que um invasor escape de uma caixa de proteção do navegador e obtenha privilégios no nível do sistema, disse a Microsoft.
Satnam Narang, engenheiro sênior de pesquisa da Tenable, diz que, embora os detalhes completos do bug não estejam disponíveis, é possível que os invasores tenham encadeado a vulnerabilidade com uma falha em um navegador baseado no Chromium ou no Microsoft Edge para escapar de uma sandbox do navegador e obter acesso total ao sistema.
“Devido às melhorias feitas na segurança do navegador, as explorações tradicionais do navegador por si só são limitadas pela tecnologia sandbox, restringindo a capacidade de um invasor de acessar o sistema operacional subjacente”, disse Narang ao Dark Reading. Ele diz que é provável que um grupo avançado de ameaças persistentes tenha descoberto e explorado a vulnerabilidade como parte de um ataque direcionado.
A Microsoft descreveu um dos bugs que corrigiu este mês como conhecido publicamente, mas não explorado. A vulnerabilidade, rastreada como CVE-2023-21549, existe no Windows SMB Witness Service e permite que um invasor execute funções de chamada de procedimento remoto normalmente restritas apenas a contas privilegiadas. A Microsoft atribuiu uma pontuação de 8,8 à vulnerabilidade, embora tenha avaliado o bug como menos provável de ser explorado.
Uma enxurrada de falhas de escalonamento de privilégios
Dois dos 25 bugs relatados pela ZDI – e que a Microsoft corrigiu este mês – eram vulnerabilidades de elevação de privilégio do Exchange Server (CVE-2023-21763 e CVE-2023-21764) que resultaram de um patch com falha para uma elevação de privilégio anterior falha no Exchange rastreada como CVE-2022-41123. “Graças ao uso de um caminho codificado, um invasor local pode carregar sua própria DLL e executar o código no nível do SISTEMA”, diz Childs.
No total, 39 dos bugs que a Microsoft corrigiu em sua atualização mais recente permitem a elevação de privilégios, uma categoria de falha que a empresa costuma classificar como menos grave do que os bugs RCE. Isso, no entanto, não significa que as organizações possam adiar abordá-los. “Apesar de sua pontuação mais baixa, essas vulnerabilidades são normalmente vistas nos estágios iniciais de um ataque e impedir que os invasores obtenham acesso ao SISTEMA ou no nível do domínio no início da cadeia de mortes pode desacelerar os invasores”, disse Kev Breen, diretor de pesquisa de ameaças cibernéticas no Immersive Labs em um comunicado.
Vários dos bugs de elevação de privilégio na atualização de janeiro afetam o Kernel do Windows. Entre eles estão CVE-2023-21772 , CVE-2023-21750 , CVE-2023-21675 e CVE-2023-21773 . “O risco potencial dessas vulnerabilidades é alto, pois afetam todos os dispositivos que executam qualquer sistema operacional Windows, a partir do Windows 7”, disse o fornecedor de segurança Action1 . Sete dos bugs de escalonamento de privilégios têm baixa complexidade e exigem poucos privilégios e nenhuma interação do usuário, o que significa que são fáceis de atacar, disse Action1.
Outros bugs que os pesquisadores de segurança identificaram como sendo de alta prioridade na atualização de segurança de janeiro de 2023 da Microsoft incluem CVE-2023-21762 e CVE-2023-21745, ambos os quais são vulnerabilidades de falsificação no Microsoft Exchange Server. “Servidores de e-mail como o Exchange são alvos de alto valor para os invasores, pois podem permitir que um invasor obtenha informações confidenciais por meio da leitura de e-mails ou para facilitar ataques no estilo Business Email Compromise”, disse Breen. As organizações precisam estar cientes dos riscos que tais bugs apresentam e mitigá-los, acrescentou.
A Microsoft também atualizou sua orientação anterior sobre o uso recente de drivers assinados pela Microsoft em campanhas maliciosas por cibercriminosos. A orientação agora inclui uma lista de bloqueio que impede que invasores usem o certificado comprometido em seu ambiente. Para as ações recomendadas, a empresa disse: “A Microsoft recomenda que todos os clientes instalem as atualizações mais recentes do Windows e garantam que seus produtos antivírus e de detecção de endpoints estejam atualizados com as assinaturas mais recentes e habilitados para evitar esses ataques”.
FONTE: DARK READING