Microsoft corrige um par de dias zero explorados ativamente

Views: 3395
0 0
Read Time:5 Minute, 43 Second

A Microsoft corrigiu cinco vulnerabilidades críticas de segurança em sua atualização Patch Tuesday de setembro, junto com dois dias zero classificados como “importantes” sob ataque ativo em estado selvagem.

No total, a Microsoft lançou 59 novos patches abordando bugs em toda a gama de produtos: eles afetam Microsoft Windows, Exchange Server, Office, .NET e Visual Studio, Azure, Microsoft Dynamics e Windows Defender.

A atualização também incorpora vários problemas de terceiros, incluindo um bug crítico de dia zero do Chromium explorado ativamente que afeta o Microsoft Edge. Com as questões externas, o número de CVEs totaliza 65.

Apesar da amplitude das correções, os pesquisadores observaram que a priorização de patches é bastante simples este mês, com os zero-day, bugs críticos e problemas no Microsoft Exchange Server e na implementação do protocolo TCP/IP no Windows precisando ir para a frente de a linha para a maioria das organizações.

Microsoft Zero-Days sob exploração ativa

Embora dois dos CVEs estejam listados como sendo usados ​​por agentes de ameaças antes da aplicação do patch, apenas um está listado como conhecido publicamente. Ambos deveriam estar no topo da lista de patches, por razões óbvias.

O bug público é encontrado no Microsoft Word ( CVE-2023-36761 , CVSS 6.2); é classificado como um problema de “divulgação de informações”, mas Dustin Childs, pesquisador da Zero Day Initiative (ZDI) da Trend Micro, observou que isso desmente sua gravidade.

“Um invasor poderia usar essa vulnerabilidade para permitir a divulgação de hashes NTLM, que provavelmente seriam usados ​​em um ataque no estilo de retransmissão NTLM ”, explicou ele em uma postagem de terça-feira sobre o lançamento do patch de setembro da Microsoft . “Independentemente da classificação, o painel de visualização também é um vetor aqui, o que significa que nenhuma interação do usuário é necessária. Definitivamente, coloque este no topo da sua lista de teste e implantação.”

O outro dia zero existe no sistema operacional Windows ( CVE-2023-36802 , CVSS 7.8), especificamente no proxy do serviço de streaming do Microsoft Stream (anteriormente conhecido como Office 365 Video). Para uma exploração bem-sucedida, um invasor precisaria executar um programa especialmente criado que permitiria o escalonamento de privilégios para administrador ou privilégios de sistema, de acordo com o comunicado.

“É a oitava vulnerabilidade de privilégio de dia zero explorada em estado selvagem em 2023”, disse Satnam Narang, engenheiro sênior de pesquisa da Tenable, à Dark Reading. “Como os invasores têm uma infinidade de maneiras de violar organizações , simplesmente obter acesso a um sistema pode nem sempre ser suficiente, e é aí que as falhas de elevação de privilégios se tornam muito mais valiosas, especialmente as de dia zero”.

Vulnerabilidades críticas de setembro de 2023

Quando se trata de bugs críticos, um dos mais preocupantes é CVE-2023-29332 , encontrado no serviço Azure Kubernetes da Microsoft. Isso poderia permitir que um invasor remoto e não autenticado obtivesse privilégios de administração do cluster Kubernetes .

“Este se destaca porque pode ser acessado pela Internet, não requer interação do usuário e está listado como de baixa complexidade”, alertou Childs em seu post. “Com base no aspecto remoto e não autenticado deste bug, isso pode ser bastante tentador para os invasores”.

Três dos patches com classificação crítica são problemas de RCE que afetam o Visual Studio ( CVE-2023-36792 , CVE-2023-36793 e CVE-2023-36796 , todos com uma pontuação CVSS de 7,8). Todos eles podem levar à execução arbitrária de código ao abrir um arquivo de pacote malicioso com uma versão afetada do software.

“Dado o uso generalizado do Visual Studio entre os desenvolvedores , o impacto de tais vulnerabilidades pode ter um efeito dominó, espalhando danos muito além do sistema inicialmente comprometido”, disse Tom Bowyer, gerente de segurança de produto da Automox, em um post . “Na pior das hipóteses, isso pode significar o roubo ou corrupção de código-fonte proprietário, a introdução de backdoors ou adulteração maliciosa que pode transformar seu aplicativo em uma plataforma de lançamento para ataques a terceiros”.

O último problema crítico é CVE-2023-38148 (CVSS 8.8, o mais grave que a Microsoft corrigiu este mês), que permite a execução remota de código não autenticado por meio da função Internet Connection Sharing (ICS) no Windows. Seu risco é mitigado pelo fato de que um invasor precisaria estar adjacente à rede; além disso, a maioria das organizações não utiliza mais ICS. No entanto, aqueles que ainda o utilizam devem corrigir imediatamente.

“Se os invasores explorarem com sucesso esta vulnerabilidade, poderá haver uma perda total de confidencialidade, integridade e disponibilidade”, afirma Natalie Silva, engenheira-chefe de segurança cibernética da Immersive Labs. “Um invasor não autorizado poderia explorar esta vulnerabilidade enviando um pacote de rede especialmente criado para o serviço. Isso poderia levar à execução de código arbitrário, resultando potencialmente em acesso não autorizado, manipulação de dados ou interrupção de serviços.”

Outros patches da Microsoft para priorizar

Também incluído na atualização de setembro está um conjunto de bugs do Microsoft Exchange Server que são considerados “com maior probabilidade de serem explorados”.

O trio de problemas ( CVE-2023-36744 , CVE-2023-36745 e CVE-2023-36756 , todos com classificação CVSS de 8,0) afeta as versões 2016-2019 e permite ataques RCE contra o serviço.

“Embora nenhum desses ataques resulte em RCE no próprio servidor, ele poderia permitir que um invasor adjacente à rede com credenciais válidas alterasse os dados do usuário ou extraísse um hash Net-NTLMv2 para uma conta de usuário alvo, que por sua vez poderia ser quebrada para recuperação uma senha de usuário ou retransmitida internamente na rede para atacar outro serviço”, diz Robert Reeves, engenheiro principal de segurança cibernética da Immersive.

Ele acrescenta: “Se usuários privilegiados – aqueles com administração de domínio ou permissões semelhantes na rede – tiverem uma caixa de correio criada no Exchange, contrariamente aos conselhos de segurança da Microsoft, tal ataque de retransmissão poderá ter consequências significativas”.

E, finalmente, pesquisadores da Automox sinalizaram uma vulnerabilidade de negação de serviço (DoS) no Windows TCP/IP ( CVE-2023-38149 , CVSS 7.5) como algo a ser priorizado.

O bug afeta qualquer sistema de rede e “permite que um invasor, por meio de um vetor de rede, interrompa o serviço sem qualquer autenticação do usuário ou alta complexidade”, disse o CISO da Automox, Jason Kikta, em um detalhamento do Patch Tuesday . “Esta vulnerabilidade representa uma ameaça significativa… ao cenário digital. Estas fraquezas podem ser exploradas para sobrecarregar os servidores, perturbando o funcionamento normal das redes e serviços, e fazendo com que fiquem indisponíveis para os utilizadores.”

Dito isto, os sistemas com IPv6 desativado não são afetados.

FONTE: DARKREADING

POSTS RELACIONADOS