0
0
Para o Patch Tuesday de julho de 2023, a Microsoft entregou 130 patches; entre eles estão quatro para vulnerabilidades exploradas ativamente por invasores, mas nenhum patch para CVE-2023-36884, uma vulnerabilidade RCE HTML do Office e do Windows explorada em ataques direcionados a entidades de defesa e governamentais na Europa e na América do Norte.
Sobre CVE-2023-36884
“A Microsoft está investigando relatos de uma série de vulnerabilidades de execução remota de código que afetam os produtos Windows e Office. A Microsoft está ciente de ataques direcionados que tentam explorar essas vulnerabilidades usando documentos do Microsoft Office especialmente criados”, disse a empresa no comunicado para essa vulnerabilidade específica numerada CVE.
Relatado pela Microsoft, Google Threat Analysis Group e pesquisadores da Volexity, o CVE-2023-36884 foi abusado por meio de documentos do Microsoft Word aparentemente relacionados ao Congresso Mundial da Ucrânia.
“Tempestade-0978 (DEV-0978; também conhecido como RomCom, o nome de seu backdoor, por outros fornecedores) é um grupo cibercriminoso baseado fora da Rússia, conhecido por realizar operações oportunistas de ransomware e extorsão, bem como campanhas direcionadas de coleta de credenciais provavelmente em apoio a operações de inteligência”, compartilhou a Microsoft Threat Intelligence.
“A Storm-0978 opera, desenvolve e distribui o backdoor da RomCom. O ator também implanta o ransomware Underground, que está intimamente relacionado ao ransomware Industrial Spy, observado pela primeira vez na natureza em maio de 2022. A última campanha do ator detectada em junho de 2023 envolveu abuso de CVE-2023-36884 para entregar um backdoor com semelhanças com RomCom.
Anteriormente, os pesquisadores do BlackBerry compartilharam a descoberta de dois documentos maliciosos que parecem ter sido usados pela RomCom nessas mesmas campanhas.
A boa notícia (para usuários corporativos e consumidores) é que os ataques são altamente direcionados. A má notícia é que a Microsoft ainda não entregou patches para esse problema.
Dustin Childs, chefe de conscientização de ameaças da Zero Day Initiative da Trend Micro, diz que, embora a Microsoft considere essa questão “Importante”, os administradores fariam bem em tratá-la como “Crítica”. A Microsoft aconselhou sobre mitigações para reduzir o risco de exploração até que as correções estejam prontas.
“A atividade de exploração identificada inclui abuso de CVE-2023-36884, incluindo uma vulnerabilidade de execução remota de código explorada por meio de documentos do Microsoft Word em junho de 2023, bem como abuso de vulnerabilidades que contribuem para um desvio de recurso de segurança”, observou o Microsoft Threat Intelligence.
(Um dos recursos de segurança pode ignorar vulnerabilidades de que eles estão falando ser CVE-2023-32049, cujos patches foram lançados hoje? A Microsoft não diz.)
Outras vulnerabilidades exploradas
CVE-2023-32049 é uma vulnerabilidade que permite que invasores ignorem o prompt Abrir Arquivo – Aviso de Segurança. Sinalizado pelo Microsoft Threat Intelligence e pela equipe de segurança do Grupo de Produtos do Microsoft Office, ele exige que a interação do usuário seja explorada.
But it is nevertheless being exploited, and patching it should be a priority.
Microsoft has also patched:
- CVE-2023-35311, uma vulnerabilidade que está sendo usada para ignorar o prompt de Aviso de Segurança do Microsoft Outlook
- CVE-2023-36874, uma falha de elevação de privilégio (EoP) no Serviço de Relatório de Erros do Windows, explorada para obter privilégios de administrador (exploração relatada por pesquisadores do Google TAG)
- CVE-2023-32046, uma vulnerabilidade EoP na plataforma MSHTML do Windows que permitiu que invasores obtivessem os direitos do usuário que está executando o aplicativo afetado
Removendo drivers assinados mal-intencionados
“A Microsoft também emitiu orientações sobre o uso malicioso de drivers assinados por meio de seu Microsoft Windows Hardware Developer Program (MWHDP)”, observou Satnam Narang, engenheiro de pesquisa sênior da Tenable.
“Foi determinado que determinadas contas de desenvolvedor do Microsoft Partner Center enviaram drivers mal-intencionados para obter uma assinatura da Microsoft. O abuso desses drivers assinados foi descoberto como parte da atividade pós-exploração, que exigia que um invasor obtivesse privilégios administrativos no sistema de destino primeiro antes de executar os drivers assinados mal-intencionados.”
A Microsoft diz que iniciou uma investigação sobre o assunto quando foi notificada dessa atividade pela Sophos em 9 de fevereiro de 2023, e que a Trend Micro e a Cisco divulgaram relatórios contendo detalhes adicionais.
“Todas as contas de desenvolvedores envolvidas neste incidente foram imediatamente suspensas”, acrescentou a empresa. “As varreduras offline serão necessárias para detectar drivers mal-intencionados que podem ter sido instalados antes de 2 de março de 2023, quando novas detecções da Microsoft foram implementadas.”
Os drivers assinados parecem ter sido usados em ataques direcionados a jogadores online na China.
ATUALIZAÇÃO (12 de julho de 2023, 06:25 ET):
A Microsoft também publicou detalhes sobre uma campanha de ataque de hackers baseados na China com o objetivo de comprometer contas de e-mail do governo explorando um problema de validação de token.
FONTE: HELPNET SECURITY