0
0
O Patch Tuesday de agosto de 2022 chegou, com correções para um número inesperadamente alto de vulnerabilidades em vários produtos da Microsoft, incluindo dois dias zero: um explorado ativamente (CVE-2022-34713) e outro ainda não (CVE-2022-30134).
Vulnerabilidades para priorizar
CVE-2022-34713 é uma vulnerabilidade no Microsoft Windows Support Diagnostic Tool (MSDT) que permite a execução remota de código. Para que um invasor o explore, ele deve enganar os alvos para que abram um arquivo especialmente criado (entregue por e-mail ou baixado de um site).
“Qualquer coisa explorada ativamente na natureza deve estar no topo da lista de coisas a serem corrigidas. Este está relacionado a uma onda de ataques em maio, quando documentos maliciosos foram usados para obter execução de código por meio da ferramenta MSDT”, observou Kevin Breen, diretor de pesquisa de ameaças cibernéticas da Immersive Labs .
De acordo com a Microsoft , o CVE-2022-34713 é uma variante da vulnerabilidade conhecida publicamente como Dogwalk .
“Com relatos de que o CVE-2022-34713 foi explorado em estado selvagem, parece que os invasores estão procurando tirar proveito das falhas no MSDT, pois esses tipos de falhas são extremamente valiosos para lançar ataques de spearphishing. Vários agentes de ameaças aproveitam o spearphishing, desde grupos avançados de ameaças persistentes (APT) até afiliados de ransomware”, comentou Satnam Narang, engenheiro sênior de pesquisa da Tenable .
“Vimos falhas como CVE-2017-11882, um bug de execução remota de código no Microsoft Office, que continuam a ser explorados anos após a disponibilização de patches. Para os invasores, os bugs que podem ser executados por meio de documentos maliciosos continuam sendo uma ferramenta valiosa, portanto, falhas como Follina e CVE-2022-34713 continuarão sendo usadas por meses. Portanto, é vital que as organizações apliquem os patches disponíveis o mais rápido possível.”
CVE-2022-30134 é uma vulnerabilidade de divulgação de informações publicamente conhecida que afeta o Microsoft Exchange e pode ser explorada por invasores para ler mensagens de email direcionadas, mas não está sob ataque no momento.
Mais importante, ao que parece, três outras vulnerabilidades críticas de elevação de privilégios que afetam o Exchange – CVE-2022-24477, CVE-2022-24516, CVE-2022-21980 – foram corrigidas pela Microsoft.
“Raramente os bugs de elevação de privilégio (EoP) são classificados como Críticos, mas eles certamente se qualificam. Esses bugs podem permitir que um invasor autenticado assuma as caixas de correio de todos os usuários do Exchange. Eles podem ler e enviar e-mails ou baixar anexos de qualquer caixa de correio no servidor Exchange. Os administradores também precisarão habilitar a Proteção Estendida para resolver completamente essas vulnerabilidades”, observou Dustin Childs, da Zero Day Initiative da Trend Micro .
Instruções adicionais sobre como executar essas atualizações específicas em instalações locais do Exchange foram fornecidas pela Microsoft, e os usuários afetados devem instalá-los imediatamente.
“As trocas podem ser um tesouro de informações, tornando-as alvos valiosos para os invasores”, comentou Breen.
“Com o CVE-2022-24477, por exemplo, um invasor pode obter acesso inicial ao host de um usuário e assumir as caixas de correio de todos os usuários do Exchange, enviando e lendo e-mails e documentos. Para invasores focados no comprometimento de e-mail comercial, esse tipo de vulnerabilidade pode ser extremamente prejudicial.”
Por fim, há o CVE-2022-35804 , um RCE não autenticado que afeta clientes e servidores SMB.
Childs diz que é potencialmente wormable e que, embora haja uma solução alternativa (desativando a compactação SMBv3), é preferível aplicar a atualização.
“A Microsoft incluiu um conjunto de correções que podem impedir que o ataque seja bem-sucedido, portanto, as organizações devem considerar aplicá-las o mais rápido possível. Quaisquer mitigações aplicadas devem ser testadas quanto à compatibilidade com quaisquer serviços de interação para garantir que a continuidade dos negócios não seja afetada. As notas do patch também incluem conselhos sobre como limitar o acesso de conexões externas à porta SMB 445”, acrescentou Breen.
FONTE: HELPNET SECURITY