Microsoft corrige bug de dia zero sob exploração ativa em atualização de agosto

Views: 162
0 0
Read Time:5 Minute, 30 Second

A atualização de segurança da Microsoft para agosto contém correções para 74 vulnerabilidades, incluindo uma que os invasores estão explorando ativamente na natureza.

A empresa avaliou seis das vulnerabilidades como críticas em gravidade e 67 – incluindo o bug de dia zero – como vulnerabilidades importantes que as organizações precisam resolver rapidamente.

atualização de segurança continha a combinação usual de bugs de execução remota de código (RCE), problemas de escalonamento de privilégios, vulnerabilidade de desvio de segurança e aqueles que permitem a divulgação de informações ou condições de negação de serviço. Os bugs afetam Windows, Office, Azure Active Directory e uma ampla variedade de outras tecnologias da Microsoft.

Do ponto de vista da carga de trabalho para administradores de segurança, a atualização de agosto da Microsoft é significativamente mais leve do que a de julho, que continha correções para volumosos 130 CVEs exclusivos e incluía cinco bugs de dia zero. Como costuma acontecer, vários especialistas em segurança apontaram o bug de dia zero no conjunto de vulnerabilidades deste mês como aquele que as organizações precisam resolver com prioridade.

Bug de dia zero em meio a patches de agosto

O bug rastreado como CVE-2023-38180 é um problema de negação de serviço que afeta várias versões do .Net e do Visual Studio. A Microsoft disse que está ciente dos invasores que exploram a vulnerabilidade em estado selvagem e descreveu a falha como uma vulnerabilidade que os invasores têm maior probabilidade de explorar. 

“Ele utiliza um vetor de ataque de rede, tem uma baixa complexidade de ataque e não requer privilégios ou interação do usuário”, disse M. Walters, vice-presidente de vulnerabilidade e pesquisa de ameaças da Action1, em comentários por e-mail. “A classificação CVSS [da falha] é de 7,5, que não é classificada como alta devido à sua capacidade exclusiva de resultar em negação de serviço”, disse Walters. Os invasores podem desencadear travamentos do sistema explorando a falha, disse ele.

Um invasor precisaria estar na mesma rede que o sistema de destino para explorar a vulnerabilidade, acrescentou Nikolas Cemerikic, engenheiro de segurança cibernética da Immersive Labs. “[Mas] essa vulnerabilidade especificamente não exige que o invasor tenha adquirido privilégios de usuário”, disse ele.

Atualização de defesa em profundidade

A atualização de segurança de agosto da Microsoft também incluiu uma atualização de defesa em profundidade para uma falha de dia zero de execução remota de código que a empresa divulgou no mês passado . A falha, rastreada como CVE-2023-36884 , oferece aos invasores uma maneira de comprometer os sistemas afetados por meio de documentos maliciosos do Word. A Microsoft divulgou a vulnerabilidade em sua atualização de julho de 2023 em meio a relatórios do grupo de ameaças russo Storm-0978, usando-o para lançar um backdoor chamado RomCom em sistemas pertencentes a organizações governamentais e militares na Ucrânia, Europa e partes da América do Norte. A instalação da atualização pode ajudar as organizações a interromper a cadeia de ataque que leva à exploração do CVE-2023-36884, disse a Microsoft.

RCEs em abundância

Embora a Microsoft tenha avaliado várias das vulnerabilidades do RCE em sua atualização de agosto como menos do que críticas em gravidade, houve algumas que foram avaliadas como críticas e merecendo atenção de alta prioridade. Entre eles estão CVE-2023-36910, CVE-2023-36911 e CVE-2023-35385.

O CVE-2023-36910 afeta o Microsoft Message Queuing nos sistemas Windows 10, 11 e Server 2008-2022. Um invasor remoto, sem nenhum privilégio de usuário, pode explorar a vulnerabilidade na rede para executar código arbitrário nos sistemas afetados. Para ser vulnerável, um sistema precisaria ter o serviço de enfileiramento de mensagens do Windows habilitado, disse Jason Kikta, CISO da Automox. “Por padrão, esse serviço seria chamado de ‘Enfileiramento de mensagens’ e a porta TCP 1801 estaria escutando na máquina. Embora o MSMQ não esteja mais habilitado por padrão, qualquer dispositivo no qual ele esteja habilitado está em risco”, disse Kikta.

CVE-2023-36911 e CVE-2023-35385 são dois outros RCEs críticos no Microsoft Message Queuing. Assim como o CVE-2023-36910, essas duas vulnerabilidades também podem ser exploradas pela rede, não exigindo interação ou privilégios do usuário. No lado positivo, porém, há várias mitigações que as organizações podem aplicar para mitigar o risco dessas vulnerabilidades, observou Walters. “Fatores atenuantes são configurações, configurações comuns ou práticas recomendadas gerais inerentes por padrão, capazes de diminuir a gravidade da exploração de vulnerabilidades”, disse ele.

Elevação de bugs de privilégio

Existem várias vulnerabilidades de elevação de privilégio do kernel do Windows na atualização de agosto que permitem que os invasores aumentem os privilégios em uma máquina comprometida e assumam o controle total sobre ela. As falhas estão presentes em várias versões do Windows, incluindo Windows Server 2008 a Windows Server 2022 e Windows 11, disse Rob Reeve, principal engenheiro de segurança cibernética da Immersive Labs. “Os invasores exploram essas vulnerabilidades para obter controle total sobre um sistema Windows assim que o acesso é obtido, como após um ataque de phishing ou exploração de um serviço vulnerável”, Reeves. As falhas nesta categoria incluem CVE-2023-35359 , CVE-2023-35380 , CVE-2023-35382 e CVE-2023-35386, disse ele.

Ameaças do Exchange Server

Seis das vulnerabilidades para as quais a Microsoft lançou um patch em agosto estão presentes no Microsoft Exchange Server. Um deles ( CVE-2023-21709) tem uma pontuação CVSS atribuída de 9,8, mas provavelmente é uma ameaça menor do que pareceria em ambientes com requisitos de senha fortes. Um invasor só pode explorar a vulnerabilidade por meio de ataques de força bruta contra contas de usuário válidas. Ataques de força bruta não serão bem-sucedidos contra contas com senhas fortes, disse Satnam Narang, engenheiro sênior de pesquisa da Tenable. “No entanto, se senhas fracas estiverem em uso, isso tornaria as tentativas de força bruta mais bem-sucedidas”, disse ele. As cinco vulnerabilidades restantes no Exchange Server incluem uma falha de spoofing e bugs de execução remota de código, embora os mais graves do grupo também exijam credenciais para uma conta válida, disse Narang.

A Microsoft avaliou dois dos RCEs no Exchange Server – CVE-2023-35388 e CVE-2023-38182 – como vulnerabilidades que os invasores têm maior probabilidade de explorar. Mas um invasor já precisaria estar conectado à rede interna da vítima com credenciais válidas de uso do Exchange para explorar a vulnerabilidade.

FONTE: DARKREADING

POSTS RELACIONADOS