0
0
As equipes de TI devem priorizar a correção de duas vulnerabilidades de dia zero, uma no mecanismo de autenticação do Microsoft Outlook e outra que é um bypass da marca da Web, disseram especialistas em segurança hoje. Os dois fazem parte de um cache de 74 bugs de segurança que a Microsoft divulgou em sua atualização de segurança Patch Tuesday de março.
Em uma postagem no blog, os pesquisadores da Automox recomendaram que as organizações consertem ambas as vulnerabilidades em 24 horas, já que os invasores as exploram livremente.
Além disso, várias das falhas críticas na atualização de março permitem a execução remota de código (RCE), tornando-as uma alta prioridade para correção também.
Os fornecedores tiveram opiniões ligeiramente diferentes sobre o número total de novas vulnerabilidades críticas na atualização de março da Microsoft – provavelmente devido a diferenças no que incluíram na contagem. A Zero-Day Initiative (ZDI) da Trend Micro, por exemplo, identificou seis das vulnerabilidades na atualização de março da Microsoft como críticas, enquanto a Tenable e a Action1 classificaram o número em nove.
Escalonamento de Privilégios Dia Zero
Um dos zero-days é uma vulnerabilidade de escalonamento de privilégio crítico no Microsoft Outlook rastreada como CVE-2023-23397 , que permite que um invasor acesse o hash de autenticação de desafio-resposta Net-NTLMv2 da vítima e, em seguida, represente o usuário.
O que torna o bug perigoso é que um invasor pode ativá-lo simplesmente enviando um e-mail especialmente criado que o Outlook recupera e processa antes mesmo de o usuário visualizá-lo no painel de visualização.
“Isso ocorre porque a vulnerabilidade é acionada no lado do servidor de e-mail, o que significa que a exploração ocorreria antes que a vítima visse o e-mail malicioso”, disse Satnam Narang, engenheiro sênior de pesquisa da Tenable em um comentário por e-mail. Um invasor pode usar o hash Net-NLMv2 da vítima para conduzir um ataque que explora o mecanismo de desafio-resposta NTLM e permite que o adversário se autentique como usuário.
Isso torna o bug mais uma vulnerabilidade de desvio de autenticação do que um problema de escalonamento de privilégios, acrescentou o pesquisador ZDI Dustin Childs, em uma postagem de blog que resumiu as falhas mais importantes na atualização de terça-feira de março da Microsoft . Desativar a opção do painel de visualização não atenuará a ameaça porque o bug é acionado antes mesmo disso, escreveu ele.
A Microsoft atribuiu a descoberta do bug a pesquisadores da Computer Emergency Response Team (CERT) da Ucrânia, bem como a um de seus próprios pesquisadores.
As organizações que não podem corrigir o CVE-2023-23397 imediatamente devem considerar a implementação da mitigação da falha da Microsoft, que impede o uso do NTLM como mecanismo de autenticação, disse a Automox.
Falha de bypass do recurso de segurança explorada ativamente
A Microsoft identificou o segundo bug de dia zero como CVE-2023-24880 , um problema de desvio do recurso de segurança do Windows SmartScreen que um invasor poderia usar para ignorar a designação Mark of the Web que a Microsoft usa para identificar arquivos que um usuário pode baixar da Internet.
O recurso foi projetado para alertar os usuários sobre conteúdo potencialmente inseguro. O CVE-2023-24880 afeta todos os sistemas de desktop com Windows 10 e superior e sistemas com Windows Server 2016, 2019 e 2022.
Chris Goettl, vice-presidente de produtos de segurança da Ivanti, alertou os administradores para não se deixarem enganar por uma falsa sensação de segurança pela classificação de gravidade relativamente baixa da Microsoft para a falha.
“A pontuação do CVSSv3.1 é de apenas 5,4, o que pode passar despercebido por muitas organizações”, disse Goettl em um comunicado. Por si só, o CVE pode não ser tão ameaçador, “mas provavelmente foi usado em uma cadeia de ataque com explorações adicionais”, alertou.
Outros erros de segurança em alta prioridade de correção
Uma das falhas do RCE que merece atenção especial é o CVE-2023-23415 , que existe no Internet Control Message Protocol (ICMP) que os dispositivos de rede usam para diagnosticar problemas de comunicação.
“Um invasor pode explorar remotamente essa vulnerabilidade por meio do uso de um erro de protocolo de baixo nível contendo um pacote IP fragmentado em seu cabeçalho que é enviado para a máquina de destino”, disse a Microsoft. A vulnerabilidade afeta vários produtos da Microsoft, incluindo Windows 10, Windows 11, Windows Server 2008, 2012, 2016, 2019 e 2022.
ZDI, Automox e Action1 também identificaram uma vulnerabilidade RCE com uma gravidade quase máxima de 9,8 na escala CVSS na pilha de protocolo HTTP como outro problema que as organizações podem querer priorizar.
A vulnerabilidade ( CVE-2023-23392 ) permite que um invasor não autenticado envie um pacote especialmente criado para um servidor que usa a pilha de protocolo HTTP que leva ao RCE. “A vulnerabilidade afeta o Windows Server 2022 e o Windows 11 e possui um vetor de ataque de baixa complexidade que não requer privilégios ou interação do usuário”, alertou Action1. Por causa disso, a Microsoft avaliou a vulnerabilidade como aquela que os agentes de ameaças têm maior probabilidade de explorar do que outras falhas.
A Automox também recomendou que as organizações corrijam o CVE-2023-23416 , um bug RCE no protocolo Windows Cryptographic Services, em 72 horas. Isso ocorre porque, entre outras coisas, afeta todas as versões de desktops Windows 10 e superiores e todas as edições do servidor Windows a partir do Server 2012.
Além dos patches para novas vulnerabilidades, a Microsoft também emitiu atualizações para quatro falhas mais antigas – todas de 2022 – em seu ciclo de patches de março. A atualização expande o número de softwares e aplicativos da Microsoft afetados pelas vulnerabilidades e fornece um patch para eles, disse Ivanti. O fornecedor de segurança identificou os quatro patches atualizados como CVE-2022-43552 , CVE-2022-23257 , CVE-2022-23825 e CVE-2022-23816 .
FONTE: DARK READING