Microsoft e Adobe corrigem zero-day explorados por invasores (CVE-2023-26369, CVE-2023-36761, CVE-2023-36802)

Views: 226
0 0
Read Time:3 Minute, 59 Second

O Patch Tuesday de setembro de 2023 chegou, com correções para vulnerabilidades exploradas ativamente no Adobe Acrobat e Reader (CVE-2023-26369), Microsoft Word (CVE-2023-36761) e Microsoft Streaming Service Proxy (CVE-2023-36802).

Vulnerabilidades dignas de nota da Microsoft

A Microsoft forneceu correções para 61 falhas numeradas CVE: 5 críticas, 55 importantes e uma de gravidade moderada.

Patches para CVE-2023-36761, um bug de divulgação de informações que afeta o Word, devem ser implantados rapidamente, uma vez que o Microsoft Threat Intelligence detectou sua exploração por invasores (embora a empresa não tenha informado a extensão dos ataques).

“A exploração desta vulnerabilidade não se limita apenas a um alvo potencial que abre um documento malicioso do Word, pois a simples visualização do arquivo pode causar o disparo da exploração. A exploração permitiria a divulgação de hashes do New Technology LAN Manager (NTLM)”, afirma Satnam Narang, engenheiro sênior de pesquisa da Tenable.

Tom Bowyer, gerente de segurança de produtos da Automox, observa que hashes NTLM expostos representam riscos significativos, pois são essencialmente chaves digitais para as credenciais de um usuário. “Se um ator mal-intencionado obtiver acesso a esses hashes, ele poderá potencialmente se passar pelo usuário, obtendo acesso não autorizado a dados e sistemas confidenciais . Eles também poderiam conduzir ataques pass-the-hash, onde o invasor usa a versão com hash de uma senha para se autenticar sem precisar descriptografá-la.”

CVE-2023-36802 , uma falha de elevação de privilégio no Microsoft Streaming Service Proxy, também foi explorada em estado selvagem. Nenhum detalhe adicional sobre os ataques que o alavancaram foi compartilhado, mas a Microsoft reconheceu os pesquisadores do DBAPPSecurity WeBin Lab e do IBM X-Force por sinalizá-lo, bem como suas próprias equipes de Threat Intelligence e Security Response Center.

Dustin Childs, chefe de conscientização sobre ameaças da Zero Day Initiative da Trend Micro, também destacou CVE-2023-29332 , um bug no serviço Azure Kubernetes que poderia permitir que um invasor remoto e não autenticado obtivesse privilégios de administração de cluster, como importante para corrigir.

“Já vimos bugs como esse antes, mas este se destaca porque pode ser acessado pela Internet, não requer interação do usuário e está listado como de baixa complexidade. A Microsoft atribui a isso uma classificação de ‘Exploração menos provável’, mas com base no aspecto remoto e não autenticado deste bug, isso pode ser bastante tentador para os invasores”, explicou ele.

Desta vez, também há muitos bugs corrigidos no ambiente de desenvolvimento integrado do Visual Studio, permitindo negação de serviço de execução remota de código ou elevação de privilégio.

“A execução remota de código e as vulnerabilidades de elevação de privilégios no Visual Studio representam um perigo real e substancial. Este tipo de vulnerabilidade pode dar a um invasor a capacidade de executar código malicioso em seu sistema, potencialmente ganhando controle total sobre o ambiente afetado”, comentou Bowyer.

“Na pior das hipóteses, isso pode significar roubo ou corrupção de código-fonte proprietário, introdução de backdoors ou adulteração maliciosa que pode transformar seu aplicativo em uma plataforma de lançamento para ataques a terceiros.”

Por fim, o servidor Microsoft Exchange obteve várias correções, inclusive para CVE-2023-36757 , uma vulnerabilidade de falsificação. Bem, para ser mais preciso, a correção para essa e outras falhas do Exchange foi incluída nas atualizações de segurança do Exchange do mês passado.

“Os CVEs lançados hoje foram, na verdade, abordados na atualização de segurança (SU) do Exchange Server de agosto de 2023”, explicou a Microsoft .

“Devido ao momento de validação dessas correções e datas de lançamento, decidimos lançar os CVEs como parte do ciclo de lançamento ‘Patch Tuesday’ de setembro de 2023. Sabemos que muitos clientes estão acostumados a verificar os lançamentos de segurança da Microsoft na segunda terça-feira de cada mês e não queríamos que esses CVEs passassem despercebidos. Não há SU do Exchange Server separado para setembro de 2023. Se você ainda não instalou o SU de agosto de 2023, faça-o agora.”

Childs apontou que CVE-2023-36757, junto com os três bugs RCE, exigem autenticação, mas também que os patches do Exchange do mês passado incluíam uma falha de desvio de autenticação.

Patches críticos da Adobe

Assim como a Microsoft, a Adobe lança atualizações de segurança regulares na segunda terça-feira de cada mês, e desta vez são para Acrobat e Reader , Experience Manager e Connect .

Mas apenas as atualizações anteriores devem ser instaladas com urgência, pois corrigem uma falha crítica de gravação fora dos limites (CVE-2023-26369) que pode levar à execução arbitrária de código e “foi explorada em liberdade em ataques limitados direcionados ao Adobe Acrobat e leitor.”

FONTE: HELP NET SECURITY

POSTS RELACIONADOS