0
0
O Patch Tuesday de novembro de 2022 chegou, com correções para muitas vulnerabilidades exploradas ativamente, incluindo CVE-2022-41091, uma falha de desvio do Windows Mark of the Web e as vulnerabilidades do ProxyNotShell MS Exchange .
Correções para priorizar
CVE-2022-41091 é uma vulnerabilidade de dia zero do Windows que permite que invasores ignorem o recurso de segurança Mark of the Web (MOTW). Eles podem criar um arquivo malicioso que desencadeia a falha e entregá-lo por meio de um site malicioso ou comprometido ou por e-mail ou mensagem instantânea.
“Em todos os casos, um invasor não teria como forçar um usuário a visualizar o conteúdo controlado pelo invasor. Em vez disso, um invasor teria que convencer um usuário a agir. Por exemplo, um invasor pode atrair um usuário para clicar em um link que direciona o usuário ao site do invasor ou enviar um anexo malicioso”, diz a Microsoft, mas ainda assim foi explorado com sucesso por diferentes invasores.
E, de acordo com Beaumont, outra vulnerabilidade de desvio do MOTW ( CVE-2022-41049 ) corrigida neste Patch Tuesday está sendo explorada à solta – embora a Microsoft não tenha confirmado.
Depois, há CVE-2022-41128 , uma falha de execução remota de código nas linguagens de script do Windows.
“Um ataque precisaria atrair um usuário para um site especialmente criado ou para um compartilhamento de servidor. Ao fazer isso, eles conseguiriam que seu código fosse executado em um sistema afetado no nível do usuário conectado”, comentou Dustin Childs, da Zero Day Initiative da Trend Micro.
“A Microsoft não fornece informações sobre o quão difundido isso pode ser, mas considerando que é um tipo de cenário de navegação e propriedade, espero que este seja um bug popular para incluir em kits de exploração.”
Também sob exploração ativa: CVE-2022-41073 , um erro de elevação de privilégio (EoP) do Windows Print Spooler relatado pelos próprios analistas de inteligência de ameaças da Microsoft e CVE-2022-41125 , um EOP no Serviço de Isolamento de Chave CNG do Windows.
O que mais?
Obviamente, as falhas “ProxyNotShell” do Microsoft Exchange Server precisam ser corrigidas o mais rápido possível devido à exploração em estado selvagem e ao fato de a Microsoft ter tropeçado com as mitigações fornecidas.
“Já faz mais de um mês que essas falhas foram divulgadas. Embora o impacto do ProxyNotShell seja limitado devido ao requisito de autenticação, o fato de ter sido explorado em estado selvagem e os invasores serem capazes de obter credenciais válidas ainda fazem com que essas falhas importantes sejam corrigidas”, comentou Satnam Narang, engenheiro de pesquisa sênior da equipe da Sustentável.
Childs também observou que a Microsoft corrigiu quatro bugs adicionais no Exchange Server este mês. “Tenho uma forte premonição de que muitos administradores do Exchange têm um fim de semana prolongado pela frente”, acrescentou.
Por fim, o CVE-2022-38023 (uma falha de EoP no Netlogon RPC) não está sendo explorado, mas uma correção deve ser implementada antes que a Microsoft imponha as atualizações necessárias em julho de 2023.
ATUALIZAÇÃO (8 de novembro de 2022, 17h05 ET):
Este artigo foi alterado para esclarecer uma possível confusão entre as duas falhas corrigidas de desvio de MOTW.
FONTE: HELPNET SECURITY