0
0
A atualização de segurança Patch Tuesday da Microsoft para abril de 2023 contém patches para 97 CVEs, incluindo um bug de dia zero sob exploração ativa em ataques de ransomware, outro que é uma reedição de uma correção para uma falha de 2013 que um agente de ameaças explorou recentemente em um ataque à cadeia de suprimentos no 3CX e um bug wormable classificado como crítico em gravidade.
A Microsoft identificou um total de sete dos bugs corrigidos este mês como sendo de gravidade crítica, o que normalmente significa que as organizações precisam torná-los uma prioridade máxima do ponto de vista da implementação de patches.
Zero-Day Usado em Ataques de Ransomware
Quase metade, ou 45, das vulnerabilidades na atualização de abril permitem a execução remota de código (RCE), um aumento significativo em relação à média de 33 bugs RCE que a Microsoft relatou em cada um dos três meses anteriores. Mesmo assim, a empresa classificou quase 90% dos CVEs no lote mais recente como bugs que os ciberatacantes são menos propensos a explorar – apenas 9% são caracterizados como falhas que os agentes de ameaças são mais propensos a explorar.
O bug de dia zero, rastreado como CVE-2023-28252, é uma vulnerabilidade de elevação de privilégio no CLFS (Sistema Comum de Arquivos de Log do Windows) que afeta todas as versões com suporte do Windows 10 e do Windows Server. É o segundo dia zero do CLFS nos últimos meses – o outro foi o CVE-2022-37969 – e dá aos adversários que já têm acesso à plataforma uma maneira de obter privilégios altamente privilegiados no nível do sistema.
“Esta vulnerabilidade aproveita o acesso ao sistema existente para explorar ativamente um dispositivo e é resultado de como o driver CLFS interage com objetos na memória em um sistema”, disse Gina Geisel, pesquisadora de segurança da Automox. Para explorar a falha, um invasor precisaria fazer logon em um sistema e, em seguida, executar um binário mal-intencionado para elevar os privilégios.
“A Automox recomenda a implantação de patches dentro de 24 horas, já que este é um dia zero explorado ativamente”, disse Geisel em comentários por e-mail ao Dark Reading.
Em um post no blog publicado em conjunto com a atualização da Microsoft, a Kaspersky disse que seus pesquisadores observaram um agente de ameaças explorando o CVE-2023-28252 para entregar o ransomware Nokoyawa em sistemas pertencentes a organizações de pequeno e médio porte na América do Norte, Oriente Médio e Ásia. A análise do fornecedor de segurança mostra que as explorações são semelhantes às explorações de driver já conhecidas que visam o CLFS.
“A exploração foi altamente ofuscada, com mais de 80% de seu código sendo ‘lixo’ elegantemente compilado no binário”, de acordo com a análise. Os pesquisadores da Kaspersky disseram que relataram o bug à Microsoft depois de observar um adversário usando-o em ataques de ransomware em fevereiro.
Um patch do passado
Outro patch na atualização de abril da Microsoft que os pesquisadores estão recomendando que as organizações prestem atenção é o CVE-2013-3900, uma vulnerabilidade de validação de assinatura de 10 anos na função WinVerifyTrust do Windows. Um agente de ameaças – que se acredita ser o Lazarus Group da Coreia do Norte – recentemente explorou a falha em um ataque à cadeia de suprimentos no 3CX que resultou em malware pousando em sistemas pertencentes a usuários do software de videoconferência da empresa.
Quando a Microsoft lançou o patch em 2013, a empresa decidiu torná-lo um patch opt-in por causa do potencial para a correção causar problemas para algumas organizações. Com a atualização de segurança de abril, a Microsoft disponibilizou a correção para mais plataformas e forneceu mais recomendações para as organizações sobre como resolver o problema.
“Definitivamente, reserve um tempo para revisar todas as recomendações, incluindo as informações sobre o Microsoft Trusted Root Program, e tome as ações necessárias para proteger seu ambiente”, disse Dustin Childs, pesquisador da Zero Day Initiative (ZDI) da Trend Micro, em um post no blog.
Uma série de vulnerabilidades RCE
Os pesquisadores identificaram duas das vulnerabilidades críticas no lote de abril como precisando de ação imediata. Um deles é CVE-2023-21554.
O bug afeta a tecnologia MSMQ (Microsoft Message Queuing) e oferece aos invasores uma maneira de obter RCE enviando um pacote MSMQ especialmente criado para um servidor MSMQ. A vulnerabilidade afeta os sistemas Windows 10, 11 e Server 2008-2022 que têm o recurso de enfileiramento de mensagens habilitado em seus sistemas, disse o pesquisador da Automox Peter Pflaster em comentários por e-mail. Os administradores devem considerar a aplicação do patch da Microsoft para o problema o mais rápido possível, uma vez que a empresa observou que os agentes de ameaças são mais propensos a explorar a vulnerabilidade.
Essa é apenas uma das duas vulnerabilidades críticas que afetam o sistema de Enfileiramento de Mensagens do Windows que a Microsoft corrigiu esta semana. A outra é CVE-2023-28250, uma vulnerabilidade no Windows Pragmatic Multicast que, como CVE-2023-21554, tem uma pontuação base de 9,8 e é potencialmente wormable.
“Este patch de terça-feira MSFT corrigiu algumas falhas críticas, das quais recomendamos que as organizações priorizem a correção de vulnerabilidades aquelas que estão sendo ativamente exploradas e wormable”, disse Bharat Jogi, diretor de Pesquisa de vulnerabilidades e ameaças da Qualys.
A outra vulnerabilidade crítica que precisa de correção imediata é CVE-2023-28231, um bug RCE no serviço do Servidor DHCP. A Microsoft avaliou o bug como outro problema que os invasores são mais propensos a tentar armar. Para explorar o bug, um invasor precisaria de acesso prévio em uma rede. Mas, uma vez nele, o adversário poderia iniciar a execução remota de código no servidor DHCP, de acordo com Kevin Breen, diretor de pesquisa de ameaças cibernéticas da Immersive Labs.
“A Microsoft recomenda que os serviços DHCP não sejam instalados em controladores de domínio, no entanto, as organizações menores geralmente verão os serviços DC e DHCP colocalizados. Neste caso, o impacto pode ser muito maior”, alertou Breen em comentários enviados por e-mail. Os invasores que têm controle sobre os servidores DHCP podem causar estragos consideráveis na rede, incluindo o roubo de credenciais para produtos de software como serviço (SaaS) ou para realizar ataques MITM (machine-in-the-middle), observou ele.
FONTE: DARK READING