0
0
Nesta terça-feira de patch de abril de 2022, a Microsoft lançou patches para 128 vulnerabilidades numeradas cve, incluindo um dia zero explorado na natureza (CVE-2022-24521) e outro (CVE-2022-26904) para o qual já há um PoC e um módulo Metasploit.
Vulnerabilidades de nota
CVE-2022-24521 é uma vulnerabilidade no Windows Common Log File System Driver que foi relatado à Microsoft pela Agência Nacional de Segurança (NSA) e Adam Podlosky e Amir Bazine do Crowdstrike.
“Uma vez que o CVE-2022-24521 só permite uma escalada de privilégios, é provável que ele seja emparelhado com um bug de execução de código separado”, observou Dustin Childs, da Trend Micro’s Zero Day Initiative. Embora o ataque que o explora seja provavelmente direcionado e a exploração usada não esteja amplamente disponível, ele aconselhou os administradores a corrigir sistemas antes que essa situação mude.
Há outras vulnerabilidades que devem ser corrigidas antes dessa.
Childs sinalizou CVE-2022-26904, uma falha do EoP que afeta o Serviço de Perfil do Usuário do Windows, porque é conhecido publicamente e já há um módulo Metasploit para ele.
“Embora a exploração dessa vulnerabilidade exija que um invasor cronometre perfeitamente seu ataque para ganhar uma condição de corrida, a Microsoft classificou-a como ‘Exploração Mais Provável”,” diz Claire Tills, engenheira sênior de pesquisa da Tenable.
Outra falha que deve ser corrigida rapidamente é o CVE-2022-26809, uma falha RPC Runtime Library RCE.
“Essa vulnerabilidade está encontrada na funcionalidade SMB (Server Message Block, bloco de mensagens do servidor) da Microsoft. O protocolo SMB é usado principalmente para compartilhamento de arquivos e comunicação entre processos, incluindo RPCs (Remote Procedure Calls, chamadas de procedimentos remotos). O RPC é um mecanismo de comunicação que permite que um programa solicite um serviço ou funcionalidade de outro programa localizado na rede (internet e/ou intranet). Os RPCs podem ser usados em tecnologias como réplica de armazenamento ou gerenciamento de volumes compartilhados”, explicou Danny Kim, arquiteto principal da Virsec.
“Usando a vulnerabilidade, um invasor pode criar um RPC especialmente criado para executar código no servidor remoto com as mesmas permissões do serviço RPC. A Microsoft recomenda configurar algumas regras de firewall para ajudar a evitar que essa vulnerabilidade seja explorada. No entanto, para os clientes que necessitam dessa funcionalidade, este guia tem eficácia limitada. Para aumentar as regras de firewall, as empresas devem considerar controles de segurança que monitoram e protegem diretamente a funcionalidade e o comportamento do software principal.”
Childs também teme que, uma vez que nenhuma interação do usuário é necessária para explorá-lo e é, de fato, wormable, o bug poderia ser usado para ataques mais amplos. Alternativamente, ele poderia ser usado por atacantes para se mover lateralmente dentro de uma rede de alvos.
Dois outros bugs “quase wormable” que devem ser splatados rapidamente são CVE-2022-24491 e CVE-2022-24497, RCEs no Sistema de Arquivos de Rede do Windows (NFS), acrescentou.
“Em sistemas onde a função NFS é habilitada, um invasor remoto poderia executar seu código em um sistema afetado com altos privilégios e sem interação do usuário. Mais uma vez, isso se soma a um bug wormable – pelo menos entre servidores NFS. Semelhante ao RPC, isso é frequentemente bloqueado no perímetro da rede. No entanto, a Microsoft fornece orientações sobre como o multiplexer da porta RPC (porta 2049) ‘é amigável ao firewall e simplifica a implantação do NFS’. Verifique suas instalações e implemente esses patches rapidamente.”
Finalmente, as atualizações do Windows Hyper-V, DNS Server e Windows Print Spooler carregam muitas correções este mês, então os administradores podem considerar chegar a elas mais cedo ou mais tarde.
Como nota de encerramento, a Microsoft anunciou recentemente a próxima disponibilidade do Windows Autopatch, um serviço automatizado e gerenciado pela Microsoft para ajudar os administradores de TI corporativos a manter o Windows e o Office sempre atualizados.
FONTE: HELPNET SECURITY