0
0
A Microsoft emitiu hoje um patch para a vulnerabilidade de dia zero “Follina” recentemente divulgada e amplamente explorada na Ferramenta de Diagnóstico de Suporte da Microsoft (MSDT) como parte de sua atualização de segurança agendada para junho.
O patch está entre as mais significativas das 60 atualizações de segurança que a empresa lançou no total hoje para corrigir vulnerabilidades em todo o seu portfólio de produtos. A Microsoft avaliou três dos bugs como sendo de gravidade crítica: CVE-2022-30136, uma vulnerabilidade de execução remota de código no Windows Network File System (NFS); CVE-2022-30163, um RCE no Windows Hyper-V; e CVE-2022-30139, uma falha de execução de código remoto no Windows Lightweight Access Protocol.
A Microsoft avaliou a maioria das outras vulnerabilidades — incluindo muitos bugs de execução remota de código — como “importantes”.
Os produtos afetados incluíram Windows, Office, Edge, Visual Studio, Windows Defender, SharePoint Server e o Windows Lightweight Directory Access Protocol.
Correção para Follina Flaw
Especialistas em segurança identificaram o patch para a vulnerabilidade Follina (CVE-2022-30190) como uma prioridade devido à forma como o bug está sendo explorado ativamente na natureza. O bug MSDT — divulgado em 30 de maio — basicamente oferece aos atacantes uma maneira trivialmente fácil de executar código remotamente através de documentos do Office, mesmo quando as macros estão desativadas. A Microsoft alertou sobre a vulnerabilidade que permite que os atacantes visualizem ou excluam dados, instalem programas e criem novas contas em sistemas comprometidos. Os ataques cibernéticos que exploram a falha foram relatados pelo menos um mês antes do anúncio da Microsoft em 30 de maio e, desde então, cresceram, alimentados pela disponibilidade pública de código de exploração.
Andy Gill, consultor sênior de segurança da Lares Consulting, diz que o novo patch da Microsoft para Follina impede a injeção de código. No entanto, o código de exploração ainda iniciará o msdt.exe, diz ele. “Portanto, embora o principal risco de execução de código seja mitigado, o software ainda é lançado”, diz ele.
Johannes Ullrich, reitor de pesquisa do SANS Institute, diz que é uma boa ideia, portanto, que as organizações mantenham as mitigações recomendadas pela Microsoft para a falha em vigor mesmo depois de instalarem a atualização do MSDT. “Os usuários que aplicam o rollup mensal serão protegidos, mas precisam perceber que o patch corrigiu a vulnerabilidade de injeção de código no msdt.exe. A própria ferramenta de diagnóstico ainda será iniciada se um usuário abrir um documento afetado.
“Follina tem sido ativamente explorada há algumas semanas”, diz Ullrich. “[A solução alternativa da Microsoft] impedirá que o msdt.exe seja iniciado [e] provavelmente deve permanecer no lugar se não causar nenhum problema.”
Três Falhas Críticas para Corrigir Agora
Em uma postagem no blog, Dustin Childs, gerente de comunicações da Zero Day Initiative da Trend Micro, descreveu a vulnerabilidade crítica CVE-2022-30136 como “erariamente semelhante” a um bug NFS que a Microsoft corrigiu no mês passado (CVE-2022-26937) que permite que os atacantes executem código privilegiado em sistemas vulneráveis. Os atacantes podem explorar a falha enviando chamadas RPC especialmente trabalhadas para um servidor vulnerável, de acordo com a ZDI. A única diferença aparente nos patches é que a atualização deste mês corrige o bug no NFS V4.1, enquanto a atualização do mês passado pertencia a duas versões mais antigas do NFS, disse ele.
“Não está claro se esta é uma variante ou um patch com falha ou um problema completamente novo. Independentemente disso, as empresas que executam o NFS devem priorizar o teste e a implantação dessa correção”, disse Childs.
Ullrich diz que este é o terceiro mês consecutivo em que a Microsoft emitiu uma atualização para corrigir uma vulnerabilidade de segurança crítica no NFS. “Mas o componente não está habilitado por padrão e, até agora, não vemos nenhum exploit para essas vulnerabilidades”, diz ele.
A vulnerabilidade de execução remota de código no Windows Hyper-V (CVE-2022-30163) é outro patch a ser aplicado o mais rápido possível, disseram pesquisadores de segurança. Kevin Breen, diretor de pesquisa de ameaças cibernéticas da Immersive, identificou isso como uma vulnerabilidade que provavelmente será de alto valor para os atacantes se um método para explorá-la facilmente for descoberto. A falha basicamente dá aos atacantes uma maneira de passar de uma máquina virtual convidada para o host para acessar todas as máquinas VM em execução nesse sistema. No entanto, explorar a falha – pelo menos atualmente – é complexa e requer que o atacante ganhe uma condição de corrida inespecífica, disse Breen em comentários enviados por e-mail.
Enquanto isso, a terceira falha crítica (CVE-2022-30139) é uma das sete falhas LDAP que a Microsoft corrigiu este mês. Embora a falha seja difícil de explorar, é um número crescente de problemas de segurança descobertos na tecnologia de diretórios. Em maio, por exemplo, a Microsoft emitiu patches para 10 falhas LDAP, disse Childs. O volume de bugs LDAP nos últimos meses torna o LDAP um alvo de ataque atraente para os atores de ameaças, observou ele.
A Childs também citou o CVE-2022-30148, uma vulnerabilidade de divulgação de informações no recurso de Configuração de Estado Desejado do Windows. A falha é importante porque os atacantes podem usá-la para – entre outras coisas – recuperar nomes de usuário e senhas de texto simples do arquivo de log. “Como o DSC é frequentemente usado pelo SysAdmins para manter as configurações da máquina em uma empresa, eles provavelmente são algumas combinações de nome de usuário/senha procuradas que podem ser recuperadas”, escreveu Childs. O bug também facilita o movimento lateral, então a organização que usa o DSC precisa implementar a correção da Microsoft para isso, disse ele.
‘Dig um pouco mais fundo’
A análise da ZDI mostra que mais da metade das vulnerabilidades que a Microsoft divulgou hoje são problemas de execução remota de código. Doze atualizações abordam a elevação de bugs de privilégio, vários dos quais exigem que os atacantes já tenham acesso a um sistema e executem código especialmente elaborado.
Breen, por sua vez, identificou várias outras vulnerabilidades que as organizações deveriam resolver. Estes incluem duas falhas de execução remota no Microsoft SharePoint Server (CVE-2022-30157 e CVE-2022-30158) que permitem o roubo de dados, substituem documentos por maliciosos e realizam outras atividades maliciosas. Também importante no resumo de junho é o CVE-2022-30147, uma falha de escalonamento de privilégios locais no Windows Installer, que a Microsoft atribuiu uma classificação de gravidade de 7,8. Essa classificação desmente o perigo que esses tipos de falhas apresentam porque os atores de ameaças quase sempre as usam em ataques, disse Breen.
Chris Goettl, diretor sênior de gerenciamento de produtos da Ivanti, aconselha as organizações a prestar atenção ao CVE-2022-26925, uma vulnerabilidade de falsificação na função Windows LSA para aplicar políticas de segurança. A vulnerabilidade oferece aos atacantes uma maneira de se autenticar em controladores de domínio e afeta todos os servidores Windows. A Microsoft recomendou que as organizações priorizem os controladores de domínio ao aplicar a atualização de segurança.
A vulnerabilidade foi divulgada publicamente e vulnerabilidades para ela foram detectadas na natureza, diz Goettl.
“A vulnerabilidade por si só é classificada como Importante pela Microsoft, e a maturidade do código de exploração é listada como não comprovada”, diz Goettl. “Mas cave um pouco mais fundo e a vulnerabilidade é muito mais ameaçadora. A vulnerabilidade foi detectada em ataques, portanto, embora as amostras de código disponíveis publicamente possam não ser comprovadas, há explorações de trabalho sendo usadas.”
A Goettl também recomenda que as organizações revisem as perguntas frequentes da Microsoft para a aposentadoria programada do aplicativo de desktop Internet Explorer 11 em 15 de junho, logo após o Patch Tuesday.
As perguntas frequentes respondem a muitas perguntas sobre o que as organizações podem esperar quando o aplicativo IE11 será desativado e como isso afeta diferentes versões do Windows, incluindo a edição corporativa LTSC do Windows. Também oferece detalhes sobre como configurar o modo IE no navegador Microsoft Edge para suportar aplicativos legados que exigem IE11 e muito mais, diz Goettl.
FONTE: DARK READING