0
0
A terça-feira do patch de julho de 2022 está chegando e trouxe correções para 84 CVEs em vários produtos da Microsoft, incluindo um dia zero ativamente explorado: CVE-2022-22047, um bug de elevação de privilégios no Subsistema de Tempo de Execução do Cliente/Servidor (CSRSS) do Windows.
“Um invasor que explorou com sucesso essa vulnerabilidade pode ganhar privilégios do SISTEMA”, observou a Microsoft, mas o invasor deve primeiro obter acesso ao sistema, geralmente explorando um bug de execução de código separado.
Está sendo usado em ataques generalizados ou direcionados? A Microsoft não diz, por isso é difícil para os administradores julgarem corretamente se devem implementar o patch fornecido mais cedo ou mais tarde. Na ausência de tais informações, eles provavelmente devem optar pela primeira opção, por precaução.
Outras vulnerabilidades para priorizar
Dustin Childs, com a Zero Day Initiative da Trend Micro, diz que o CVE-2022-30216, uma vulnerabilidade de “adulteração” no Serviço Windows Server que pode permitir que um invasor autenticado faça upload de um certificado malicioso para um servidor de destino, deve ser corrigido rapidamente em servidores críticos.
“Embora os bugs de adulteração geralmente não receba muita atenção, a Microsoft dá a isso sua classificação de índice de exploração mais alta, o que significa que eles esperam explorações ativas dentro de 30 dias”, apontou ele.
A exploração do CVE-2022-22029, um RCE no serviço Windows NFS, e do CVE-2022-22038, um RCE em tempo de execução da Microsoft Remote Procedure Call (RPC), não depende do atacante (remoto) ser autenticado nem da interação do usuário.
Em ambos os casos, no entanto, o atacante deve fazer “tentativas repetidas de exploração por meio do envio de dados constantes ou intermitentes”, o que significa que a exploração não é rápida e fácil. Ainda assim, como Childs observou, essas tentativas podem facilmente passar despercebidas e, portanto, a correção desses bugs deve ser priorizada – mesmo que, novamente, não haja informações suficientes para avaliar adequadamente seu potencial prático de exploração.
Uma nota especial para usuários do Azure Site Recovery
Uma coisa (relativamente) interessante sobre o lote de patches deste Patch Tuesday (tente dizer isso três vezes seguidas!) É que inclui correções para 32 vulnerabilidades que afetam o Azure Site Recovery, uma oferta de recuperação de desastres como serviço (DRaaS).
Duas dessas falhas podem levar à execução remota de código e as trinta restantes à elevação do privilégio. Entre os últimos está o CVE-2022–33675, uma vulnerabilidade de sequestro de DLL descoberta e detalhada por James Sebree, Engenheiro de Pesquisa Principal da Tenable.
“O sequestro de DLL é uma técnica bastante antiquada que não encontramos com frequência nos dias de hoje. Quando o fazemos, o impacto geralmente é bastante limitado devido à falta de limites de segurança sendo cruzados”, explicou ele.
“Neste caso, no entanto, conseguimos cruzar um limite claro de segurança e demonstramos a capacidade de escalonar um usuário para permissões no nível do SISTEMA, o que mostra a tendência crescente de técnicas até mesmo datadas encontrarem uma nova casa no espaço na nuvem devido a complexidades adicionais nesses tipos de ambientes.”
Um bug como esse poderia ser um benefício para os grupos de ransomware, ele opinou, já que permitiria que eles segmentassem os backups das organizações vítimas.
Para organizações que usam o Azure Site Recovery, a Microsoft forneceu instruções sobre como fechar esses buracos.
Felizmente, “A Microsoft não está ciente de qualquer exploração dessas vulnerabilidades, que afetam apenas os recursos de replicação, não as cargas de trabalho dos clientes. Também não há risco de exposição de dados entre inquilinos, já que esta é uma oferta no local.”
Finalmente, deve-se mencionar que esta terça-feira de Patch é quando os clientes corporativos da Microsoft que optaram por usar o Windows Autopatch começarão a testar o serviço de patch gerenciado automatizado (e esperando que tudo corra bem).
“Como o serviço Autopatch tem uma pegada tão ampla e envia atualizações 24 horas por dia, somos capazes de detectar possíveis problemas entre uma variedade incrivelmente diversificada de configurações de hardware e software. Isso significa que um problema que possa ter um impacto no seu portfólio pode ser detectado e resolvido antes de chegar ao seu patrimônio. E à medida que o serviço se expande e cresce, a capacidade de detectar problemas ficará mais robusta”, observou Lior Bela, Gerente Sênior de Marketing de Produto da Microsoft Managed Desktop e Windows Autopatch na equipe do Microsoft 365.
FONTE: HELPNET SECURITY