A atualização de segurança de julho da Microsoft contém correções para 130 vulnerabilidades exclusivas, cinco das quais os invasores já estão explorando ativamente na natureza.
A empresa classificou nove das falhas como sendo de gravidade crítica e 121 delas como de gravidade moderada ou importante. As vulnerabilidades afetam uma ampla gama de produtos Microsoft, incluindo Windows, Office, .Net, Azure Active Directory, Drivers de Impressora, Servidor DMS e Área de Trabalho Remota. A atualização continha a combinação usual de falhas de execução remota de código (RCE), problemas de desvio de segurança e escalonamento de privilégios, bugs de divulgação de informações e vulnerabilidades de negação de serviço.
“Esse volume de correções é o maior que vimos nos últimos anos, embora não seja incomum ver a Microsoft enviar um grande número de patches antes da conferência Black Hat USA”, disse Dustin Childs, pesquisador de segurança da Zero Day Initiative (ZDI) da Trend Micro, em um post no blog.
Do ponto de vista da priorização de patches, os cinco zero-days que a Microsoft divulgou esta semana merecem atenção imediata, de acordo com pesquisadores de segurança.
O mais grave deles é o CVE-2023-36884, um bug de execução remota de código (RCE) no Office e no HTML do Windows, para o qual a Microsoft não tinha um patch na atualização deste mês. A empresa identificou um grupo de ameaças que está rastreando, o Storm-0978, como explorando a falha em uma campanha de phishing direcionada a organizações governamentais e de defesa na América do Norte e na Europa.
A campanha envolve o ator da ameaça distribuindo um backdoor, apelidado de RomCom, por meio de documentos do Windows com temas relacionados ao Congresso Mundial da Ucrânia. “As operações direcionadas do Storm-0978 afetaram organizações governamentais e militares principalmente na Ucrânia, bem como organizações na Europa e na América do Norte potencialmente envolvidas em assuntos ucranianos”, disse a Microsoft em uma postagem no blog que acompanhou a atualização de segurança de julho. “Os ataques de ransomware identificados impactaram os setores de telecomunicações e financeiro, entre outros.”
Dustin Childs, outro pesquisador da ZDI, alertou as organizações para tratarem o CVE-2023-36884 como um problema de segurança “crítico”, embora a própria Microsoft o tenha avaliado como um bug relativamente menos grave e “importante”. “A Microsoft tomou a ação estranha de lançar este CVE sem um patch. Isso ainda está por vir”, escreveu Childs em um post no blog: “Claramente, há muito mais nessa exploração do que está sendo dito.”
Duas das cinco vulnerabilidades que estão sendo exploradas ativamente são falhas de desvio de segurança. Um afeta o Microsoft Outlook (CVE-2023-35311) e o outro envolve o Windows SmartScreen (CVE-2023-32049). Ambas as vulnerabilidades exigem interação do usuário, o que significa que um invasor só poderá explorá-las convencendo um usuário a clicar em uma URL maliciosa. Com o CVE-2023-32049, um invasor poderia ignorar o prompt Abrir Arquivo – Aviso de Segurança, enquanto o CVE-2023-35311 oferece aos invasores uma maneira de ocultar seu ataque pelo prompt de Aviso de Segurança do Microsoft Outlook.
“É importante observar que [CVE-2023-35311] permite especificamente ignorar os recursos de segurança do Microsoft Outlook e não permite a execução remota de código ou o escalonamento de privilégios”, disse Mike Walters, vice-presidente de pesquisa de vulnerabilidades e ameaças da Action1. “Portanto, é provável que os atacantes combinem isso com outras explorações para um ataque abrangente. A vulnerabilidade afeta todas as versões do Microsoft Outlook a partir de 2013”, observou ele em um e-mail ao Dark Reading.
Kev Breen, diretor de pesquisa de ameaças cibernéticas da Immersive Labs, avaliou o outro desvio de segurança de dia zero – CVE-2023-32049 – como outro bug que os agentes de ameaças provavelmente usarão como parte de uma cadeia de ataque mais ampla.
Os outros dois zero-days no conjunto mais recente de patches da Microsoft permitem o escalonamento de privilégios. Pesquisadores do Grupo de Análise de Ameaças do Google descobriram um deles. A falha, rastreada como CVE-2023-36874, é um problema de elevação de privilégio no serviço Relatório de Erros do Windows (WER) que oferece aos invasores uma maneira de obter direitos administrativos em sistemas vulneráveis. Um invasor precisaria de acesso local a um sistema afetado para explorar a falha, que poderia ser obtida por meio de outras explorações ou do uso indevido de credenciais.
“O serviço WER é um recurso nos sistemas operacionais Microsoft Windows que coleta e envia automaticamente relatórios de erros para a Microsoft quando determinado software trava ou encontra outros tipos de erros”, disse Tom Bowyer, pesquisador de segurança da Automox. “Essa vulnerabilidade de dia zero está sendo explorada ativamente, portanto, se o WER for usado por sua organização, recomendamos a aplicação de patches em até 24 horas”, disse ele.
O outro bug de elevação de privilégio na atualização de segurança de julho que os invasores já estão explorando ativamente é o CVE-2023-32046 na plataforma MSHTM Windows da Microsoft, também conhecido como o mecanismo de renderização do navegador “Trident”. Como acontece com muitos outros bugs, este também requer algum nível de interação do usuário. Em um cenário de ataque por email para explorar o bug, um invasor precisaria enviar a um usuário alvo um arquivo especialmente criado e fazer com que o usuário o abrisse. Em um ataque baseado na Web, um invasor precisaria hospedar um site mal-intencionado – ou usar um comprometido – para hospedar um arquivo especialmente criado e, em seguida, convencer uma vítima a abri-lo, disse a Microsoft.
RCEs no Roteamento do Windows, Serviço de Acesso Remoto
Os pesquisadores de segurança apontaram três vulnerabilidades RCE no Serviço de Roteamento e Acesso Remoto (RRAS) do Windows (CVE-2023-35365, CVE-2023-35366 e CVE-2023-35367) como merecendo atenção prioritária como todas. A Microsoft avaliou todas as três vulnerabilidades como críticas e todas as três têm uma pontuação CVSS de 9,8. O serviço não está disponível por padrão no Windows Server e basicamente permite que os computadores que executam o sistema operacional funcionem como roteadores, servidores VPN e servidores dial-up, disse Bowyer, da Automox. “Um invasor bem-sucedido pode modificar as configurações de rede, roubar dados, mover para outros sistemas mais críticos/importantes ou criar contas adicionais para acesso persistente ao dispositivo.”
Falhas do SharePoint Server
A gigantesca atualização de julho da Microsoft continha correções para quatro vulnerabilidades RCE no servidor do SharePoint, que se tornou um alvo popular de invasores recentemente. A Microsoft classificou dois dos bugs como “importantes” (CVE-2023-33134 e CVE-2023-33159) e os outros dois como “críticos” (CVE-2023-33157 e CVE-2023-33160). “Todos eles exigem que o invasor seja autenticado ou que o usuário execute uma ação que, felizmente, reduz o risco de uma violação”, disse Yoav Iellin, pesquisador sênior da Silverfort. “Mesmo assim, como o SharePoint pode conter dados confidenciais e geralmente é exposto de fora da organização, aqueles que usam as versões locais ou híbridas devem atualizar.”
As organizações que precisam estar em conformidade com regulamentos como FEDRAMP, PCI, HIPAA, SOC2 e regulamentos semelhantes devem prestar atenção ao CVE-2023-35332: uma falha do Windows Remote Desktop Protocol Security Feature Ignore, disse Dor Dali, chefe de pesquisa da Cyolo. A vulnerabilidade tem a ver com o uso de protocolos desatualizados e preteridos, incluindo o Datagram Transport Layer Security (DTLS) versão 1.0, que apresenta riscos substanciais de segurança e conformidade para as organizações, disse ele. Em situações em que uma organização não pode atualizar imediatamente, eles devem desabilitar o suporte UDP no gateway RDP, disse ele.
Além disso, a Microsoft publicou um comunicado sobre sua investigação sobre relatórios recentes sobre agentes de ameaças usando drivers certificados pelo Windows Hardware Developer Program (MWHDP) da Microsoft em atividade pós-exploração.
FONTE: DARK READING