0
0
É terça-feira de patch de março de 2023 e a Microsoft forneceu correções para 76 vulnerabilidades numeradas CVE, incluindo duas exploradas ativamente na natureza (CVE-2023-23397, CVE-2023-24880) por diferentes agentes de ameaças.
Sobre CVE-2023-23397
“CVE-2023-23397 é uma vulnerabilidade EoP crítica no Microsoft Outlook que é acionada quando um invasor envia uma mensagem com uma propriedade MAPI estendida com um caminho UNC para um compartilhamento SMB (TCP 445) em um servidor controlado por agente de ameaça. Nenhuma interação do usuário é necessária”, explicou a Microsoft.
“A conexão com o servidor SMB remoto envia a mensagem de negociação NTLM do usuário, que o invasor pode retransmitir para autenticação em outros sistemas que oferecem suporte à autenticação NTLM.”
Satnam Narang, engenheiro de pesquisa sênior da Tenable, observa que as vulnerabilidades do Outlook geralmente são acionadas pela funcionalidade do painel de visualização, mas não esta. “Isso ocorre porque a vulnerabilidade é acionada no lado do servidor de e-mail, o que significa que a exploração ocorreria antes que a vítima visualizasse o e-mail malicioso”, disse ele ao Help Net Security.
A falha afeta todas as versões com suporte do Microsoft Outlook para Windows, mas não do Outlook para Mac, iOS ou Android ou Outlook na web. “Serviços online, como o Microsoft 365, não oferecem suporte à autenticação NTLM e não são vulneráveis a ataques por essas mensagens”, apontou a Microsoft.
A vulnerabilidade foi sinalizada pelo CERT ucraniano e pelas equipes de Incident and Treat Intelligence da Microsoft.
“A Microsoft Threat Intelligence avalia que um agente de ameaças baseado na Rússia usou o exploit corrigido no CVE-2023-23397 em ataques direcionados contra um número limitado de organizações nos setores governamental, de transporte, energia e militar na Europa”, disse a empresa, e compartilhou um scriptque as organizações podem usar para verificar se estão entre os alvos.
Sobre CVE-2023-24880
CVE-2023-24880 é uma vulnerabilidade que permite que invasores ignorem o recurso Windows SmartScreen.
“Quando você baixa um arquivo da Internet, o Windows adiciona o identificador de zona ou Marca da Web (MOTW) como um fluxo NTFS ao arquivo. Portanto, quando você executa o arquivo, o Windows SmartScreen verifica se há um identificador de zona Alternate Data Stream (ADS) anexado ao arquivo. Se o ADS indicar ZoneId=3, o que significa que o arquivo foi baixado da internet, o SmartScreen faz uma verificação de reputação”, esclarece a Microsoft .
Essa vulnerabilidade pode ser explorada criando um arquivo malicioso que irá escapar das defesas MOTW, o que significa que medidas de proteção como Windows SmartScreen e Microsoft Office Protected View não serão acionadas.
A exploração da vulnerabilidade foi relatada à Microsoft pelos pesquisadores Benoît Sevens e Vlad Stolyarov, do Grupo de Análise de Ameaças (TAG) do Google, que a detectaram sendo explorada para distribuir o ransomware Magniber.
“Os invasores estão entregando arquivos MSI assinados com uma assinatura Authenticode inválida, mas especialmente criada. A assinatura malformada faz com que o SmartScreen retorne um erro que resulta em ignorar a caixa de diálogo de aviso de segurança exibida aos usuários quando um arquivo não confiável contém uma Marca da Web (MotW), que indica que um arquivo potencialmente malicioso foi baixado da Internet, ” a equipe explicou.
“A TAG observou mais de 100.000 downloads de arquivos MSI maliciosos desde janeiro de 2023, com mais de 80% para usuários na Europa – uma divergência notável em relação ao direcionamento típico da Magniber, que geralmente se concentra na Coreia do Sul e Taiwan.”
Eles também observaram que, em setembro e novembro de 2022, os agentes de ameaças usaram uma vulnerabilidade semelhante de desvio do SmartScreen (CVE-2022-44698) para entregar o ransomware Magniber e o infostealer Qakbot, antes que a falha fosse corrigida em dezembro de 2022 .
O problema, dizem eles , é que o patch era muito estreito, então os invasores iteraram e descobriram novas variantes.
“Ao corrigir um problema de segurança, há uma tensão entre uma correção localizada e confiável e uma correção potencialmente mais difícil do problema de causa raiz subjacente. Como a causa raiz por trás do desvio de segurança do SmartScreen não foi abordada, os invasores conseguiram identificar rapidamente uma variante diferente do bug original. O Project Zero escreveu e apresentou extensivamente sobre essa tendência e recomenda várias práticas para garantir que os bugs sejam corrigidos de maneira correta e abrangente ”, acrescentaram.
Outras vulnerabilidades dignas de nota
Dustin Childs, com a Zero Day Initiative da Trend Micro, também destacou uma falha RCE de pilha de protocolo HTTP wormable ( CVE-2023-23392 ) explorável em uma configuração comum do Windows 11 e Windows Server 2022 e RCE potencialmente wormable no Internet Control Message Protocol ( CVE-2023-23415) como digno de uma solução rápida.
Adicione a essa lista CVE-2023-23416 , um RCE no Windows Cryptographic Services.
“Para uma exploração bem-sucedida, um certificado malicioso precisa ser importado em um sistema afetado. Um invasor pode fazer upload de um certificado para um serviço que processa ou importa certificados, ou um invasor pode convencer um usuário autenticado a importar um certificado em seu sistema”, observou a empresa.
ATUALIZAÇÃO (115 de março de 2023, 10h20 ET):
O pesquisador do MDSec, Dominic Chell, tem um ótimo artigo sobre como o CVE-2023-23397 pode ser facilmente explorado.
FONTE: HELPNET SECURITY