0
0
Para marcar o Patch Tuesday de janeiro de 2023, a Microsoft lançou patches para 98 vulnerabilidades numeradas CVE, incluindo uma explorada na natureza (CVE-2023-21674) e uma (CVE-2023-21549) que foi divulgada publicamente. Ambos permitem que os invasores elevem privilégios na máquina vulnerável.
Vulnerabilidades dignas de nota
CVE-2023-21674 é uma vulnerabilidade no Windows Advanced Local Procedure Call (ALPC) que pode levar a uma fuga de sandbox do navegador e permitir que invasores obtenham privilégios de SISTEMA em uma ampla variedade de instalações do Windows e do Windows Server.
“Bugs desse tipo geralmente são combinados com alguma forma de extração de código para fornecer malware ou ransomware. Considerando que isso foi relatado à Microsoft por pesquisadores da Avast, esse cenário parece provável aqui”, observou Dustin Childs, da Trend Micro. Corrigir este deve ser uma prioridade.
De acordo com Satnam Narang, engenheiro de pesquisa sênior da Tenable, vulnerabilidades como CVE-2023-21674 são normalmente o trabalho de grupos de ameaças persistentes avançadas (APT) como parte de ataques direcionados. “A probabilidade de futura exploração generalizada de uma cadeia de exploração como esta é limitada devido à funcionalidade de atualização automática usada para corrigir navegadores”, acrescentou.
A única vulnerabilidade divulgada publicamente – CVE-2023-21549, no Windows SMB Witness – aparentemente tem menos probabilidade de ser explorada nas versões mais recentes do Windows e do Windows Server, embora a complexidade do ataque e os privilégios necessários sejam baixos e nenhuma interação do usuário seja necessária.
“Para explorar essa vulnerabilidade, um invasor pode executar um script malicioso especialmente criado que executa uma chamada RPC para um host RPC. Isso pode resultar em elevação de privilégio no servidor. Um invasor que explorou com sucesso essa vulnerabilidade pode executar funções RPC restritas apenas a contas privilegiadas”, explicou a Microsoft .
Mas, embora o CVE-2023-21549 possa ser uma prioridade de correção para alguns, o CVE-2023-21743 – uma vulnerabilidade de desvio de recurso de segurança no Microsoft SharePoint Server – deve ser corrigido rapidamente por muitos.
“Você raramente vê um desvio de recurso de segurança (SFB) com classificação crítica, mas este parece se qualificar. Esse bug pode permitir que um invasor remoto e não autenticado faça uma conexão anônima com um servidor do SharePoint afetado”, observou Childs, e enfatizou que os administradores de sistema também devem acionar uma ação de atualização do SharePoint para ficarem totalmente protegidos dessa vulnerabilidade.
“O invasor pode ignorar a proteção no SharePoint, bloqueando a solicitação HTTP com base no intervalo de IP. Se um invasor explorar essa vulnerabilidade com êxito, poderá validar a presença ou ausência de um ponto de extremidade HTTP no intervalo de IP bloqueado. Além disso, a vulnerabilidade exige que o invasor tenha acesso de leitura ao site Sharepoint de destino”, observou Preetham Gurram, gerente de produto sênior da Automox.
Os administradores encarregados de corrigir servidores Microsoft Exchange locais devem agir rapidamente para corrigir duas vulnerabilidades EoP (CVE-2023-21763/CVE-2023-21764) decorrentes de um patch com falha lançado em novembro de 2022.
O restante dos patches visa corrigir vulnerabilidades no Windows Print Spooler (um deles foi relatado pela NSA), no kernel do Windows e em outras soluções. Há também duas falhas interessantes (CVE-2023-21560, CVE-2023-21563) que permitem aos invasores ignorar o recurso BitLocker Device Encryption no dispositivo de armazenamento do sistema para obter acesso a dados criptografados, mas somente se estiverem fisicamente presentes.
O fim do caminho para o uso seguro do Windows 7
Por fim, é preciso reiterar mais uma vez que hoje a Microsoft encerrou o suporte estendido de segurança para o Windows 7.
“Já se passaram três anos desde que a Microsoft iniciou seu programa Windows 7 e Server 2008/2008 R2 Extended Security Update (ESU) e as atualizações de segurança finais para esses sistemas operacionais serão lançadas na próxima semana. Embora continuem a funcionar bem depois do prazo, novas vulnerabilidades continuarão a ser descobertas e esses sistemas correrão um risco cada vez maior de exploração”, observou Todd Schell, gerente sênior de produtos de segurança da Ivanti.
A Microsoft ofereceu várias opções para quem deseja mudar do Windows 7, dependendo do hardware das máquinas.
A data final estendida para o Windows 8.1 também é hoje. “Após esta data, este produto não receberá mais atualizações de segurança, atualizações não relacionadas à segurança, correções de bugs, suporte técnico ou atualizações de conteúdo técnico online”, apontou a Microsoft .
FONTE: HELPNET SECURITY