0
0
É terça-feira de patch de dezembro de 2022 e a Microsoft forneceu correções para mais de 50 vulnerabilidades, incluindo uma falha de desvio do Windows SmartScreen (CVE-2022-44698) explorada por invasores para fornecer uma variedade de malware.
CVE-2022-44698
CVE-2022-44698 afeta todas as versões do sistema operacional Windows a partir do Windows 7 e Windows Server 2008 R2.
“ A vulnerabilidade tem baixa complexidade. Ele usa o vetor de rede e não requer escalonamento de privilégios. No entanto, ele precisa de interação do usuário; os invasores precisam enganar a vítima para que visite um site malicioso por meio de e-mails de phishing ou outras formas de engenharia social para explorar o desvio do recurso de segurança”, disse Mike Walters, vice-presidente de pesquisa de vulnerabilidades e ameaças da Action1, à Help Net Security .
“Um agente de ameaça pode criar um arquivo malicioso que evitaria as defesas Mark of the Web (MOTW), resultando em uma perda limitada de integridade e disponibilidade de recursos de segurança, que dependem da marcação MOTW – por exemplo, ‘Protected View’ no Microsoft Office . Este dia zero tem uma pontuação de risco CVSS moderada de 5,4, porque apenas ajuda a evitar o mecanismo de defesa Microsoft Defender SmartScreen, que não possui funcionalidade RCE ou DoS.”
Outras vulnerabilidades corrigidas dignas de nota
CVE-2022-41076 é um RCE do PowerShell que pode ser acionado por invasores que não têm privilégios elevados, mas precisam executar ações adicionais antes da exploração para preparar o ambiente de destino.
“Um invasor autenticado pode escapar da configuração de sessão remota do PowerShell e executar comandos não aprovados no sistema de destino”, explicou a Microsoft. Dado que essa ferramenta de script costuma ser abusada por invasores, todos devem priorizar essa correção.
Dustin Childs, da Trend Micro, também destacou o CVE-2022-44713 , uma vulnerabilidade de falsificação que afeta o Microsoft Outlook para Mac, como potencialmente muito perigoso e ideal para phishers.
“Essa vulnerabilidade pode permitir que um invasor apareça como um usuário confiável quando não deveria ser. Agora, combine isso com a marca SmartScreen do bypass da Web e não será difícil criar um cenário em que você receba um e-mail que parece ser de seu chefe com um anexo intitulado ‘Executive_Compensation.xlsx’. Não há muitos que não abririam esse arquivo nesse cenário”, observou .
Os administradores do SharePoint devem corrigir dois RCEs ( CVE-2022-44690 e CVE-2022-44693 ) que, felizmente, exigem permissões especiais e autenticação pré-exploração.
Drivers usados de forma maliciosa assinados pela Microsoft
No final de outubro, a Microsoft foi alertada sobre o fato de que drivers certificados pelo Windows Hardware Developer Program da Microsoft estavam sendo usados maliciosamente em atividades pós-exploração relacionadas a ataques de ransomware (Cuba).
“Nesses ataques, o invasor já havia obtido privilégios administrativos em sistemas comprometidos antes do uso dos drivers”, observou a Microsoft .
A investigação da Microsoft sobre o assunto revelou que várias contas de desenvolvedor para o Microsoft Partner Center estavam enviando drivers maliciosos na tentativa de obtê-los assinados pela Microsoft, para que pudessem encerrar os agentes EDR nos endpoints de destino.
“Suspendemos as contas de vendedores dos parceiros e implementamos detecções de bloqueio para ajudar a proteger os clientes dessa ameaça”, disse a empresa.
“A Microsoft lançou atualizações de segurança do Windows revogando o certificado para arquivos afetados e suspendendo as contas de vendedores dos parceiros. Além disso, a Microsoft implementou detecções de bloqueio (Microsoft Defender 1.377.987.0 e mais recentes) para ajudar a proteger os clientes de drivers assinados legitimamente que foram usados de forma maliciosa em atividades pós-exploração.”
Usuários e administradores são aconselhados a instalar as atualizações mais recentes do Windows e garantir que seus produtos antivírus e de detecção de endpoints estejam atualizados e ativados.
Após o lançamento dessas atualizações e do comunicado, Mandiant , Sophos e SentinelOne publicaram suas pesquisas sobre esse tipo de ataque específico.
“Várias famílias distintas de malware, associadas a agentes de ameaças distintos, foram assinadas com esse processo”, disseram os pesquisadores da Mandiant, observando que “identificaram pelo menos nove nomes de organizações exclusivos associados a malware assinado por atestado”.
FONTE: HELPNET SECURITY