0
0
A Microsoft esmagou 74 vulnerabilidades de segurança com sua atualização de terça-feira de maio de 2022, incluindo um bug de zero-day de classificação importante que está sendo ativamente explorado na natureza e vários que provavelmente estão amplamente presentes em todas as empresas.
Ele também corrigiu sete falhas críticas, 65 outros bugs de classificação importante e um problema de baixa gravidade. As correções executam a gama do portfólio da gigante da computação, incluindo: Componentes do Windows e Windows, .NET e Visual Studio, Microsoft Edge (baseado em Chromium), Microsoft Exchange Server, Componentes do Office e Office, Windows Hyper-V, Métodos de Autenticação do Windows, BitLocker, Windows Cluster Shared Volume (CSV), Remote Desktop Client, Windows Network File System, NTFS e Windows Point-to-Point Tunneling Protocol.
3 Zero-Days, 1 Ativamente Explorado
O bug ativamente explorado (CVE-2022-26925) é uma vulnerabilidade de falsificação do Windows LSA que classifica 8,1 em 10 na escala de gravidade de vulnerabilidade do CVSS – no entanto, A Microsoft observa em seu aviso que ele deve ser aumentado para ataques críticos (CVSS 9.8) se usado em ataques de relé do Windows NT LAN Manager (NTLM).
“[A]n invasor não autenticado poderia chamar um método na interface LSARPC e coagir o controlador de domínio a autenticar ao invasor usando NTLM”, adverte a Microsoft em sua assessoria – uma situação preocupante considerando que os controladores de domínio fornecem acesso de alto nível a privilégios.
Agora preterido, o NTLM usa um protocolo de autenticação fraco que pode facilmente revelar credenciais e chaves de sessão. Em um ataque de relé, os maus atores podem capturar uma autenticação e transmiti-la para outro servidor – que eles podem usar para autenticar para o servidor remoto com os privilégios do usuário comprometido.
Dito isto, o bug é mais difícil de explorar do que a maioria, explica o pesquisador da Trend Micro Zero Day Initiative (ZDI) Dustin Childs em um blog de terça-feira. “O ator de ameaças precisaria estar no caminho lógico da rede entre o alvo e o recurso solicitado (por exemplo, homem no meio), mas como isso está listado como um ataque ativo, alguém deve ter descoberto como fazer isso acontecer.”
Tyler Reguly, gerente de P&D de segurança da Tripwire, diz ao Dark Reading que o bug pode estar relacionado a uma ameaça vista anteriormente conhecida como PetitPotam, que surgiu em julho para permitir que os invasores forcem sistemas remotos do Windows a revelar hashes de senha facilmente crackable.
“Com base nos links fornecidos pela Microsoft, isso parece estar relacionado com o patch petitpotam anterior”, observa, acrescentando que os pesquisadores estarão adivinhando sobre isso. “Este é um exemplo primordial de onde resumos executivos detalhados que explicam o que está acontecendo foram úteis no passado. Seria ótimo se a Microsoft pudesse voltar a fornecê-los regularmente”, diz ele.
A Microsoft também corrigiu dois outros zero-dias, incluindo um bug crítico (CVE-2022-29972, CVSS não disponível) em Magnitude Simba Amazon Redshift ODBC Driver – “um conector de dados ODBC de terceiros usado para se conectar ao Amazon Redshift, em Integração Runtime (IR) em Azure Synapse Pipelines, e Azure
Ele acrescenta: “Esta atualização é complicada o suficiente para a Microsoft blogar sobre o bug e como ele afeta vários serviços da Microsoft.”
O último dia zero (CVE-2022-22713, CVSS 5.6) é um bug de classificação importante no Windows Hyper-V que poderia permitir a negação de serviço (DoS).
Luzes líderes: Bugs críticos de segurança da Microsoft para patch Now
Quanto a outros patches para os administradores priorizarem este mês, alguns dos problemas de classificação crítica são de longo alcance em toda a infraestrutura organizacional e podem afetar milhões de empresas, alertam os pesquisadores.
“A grande novidade são as vulnerabilidades críticas que precisam ser destacadas para uma ação imediata”, diz Chris Hass, diretor de segurança da Automox, ao Dark Reading. “Este mês, as vulnerabilidades em vários aplicativos que são predominantes na maioria das organizações corporativas, incluindo NSF, Remote Desktop Client e Active Directory.”
Por exemplo, o bug crítico que afeta o Windows Network File System, ou NFS (CVE-2022-26937, CVSS 9.8) poderia permitir a execução remota (RCE) não autenticada no contexto do serviço NFS altamente privilegiado, de acordo com a assessoria da Microsoft. Para inicializar, sua ubiquidade é semelhante ao Log4j: “está presente em todas as versões do Windows Server de 2008 para frente”, diz Hass, “o que coloca a maioria das organizações em risco se a ação não for tomada rapidamente”.
Além disso, “esses tipos de vulnerabilidades potencialmente apelarão para os operadores de ransomware, pois podem levar ao tipo de exposição de dados críticos, muitas vezes parte de uma tentativa de resgate”, diz Kevin Breen, diretor de pesquisa de ameaças cibernéticas da Immersive Labs, ao Dark Reading.
Em termos de quem deve priorizar especialmente o patch, “O NFS não está ligado por padrão, mas é predominante em ambiente onde os sistemas Windows são misturados com outros OSes, como Linux ou Unix. Se isso descrever seu ambiente, você definitivamente deve testar e implantar esse patch rapidamente”, adverte Childs.
Quanto a outros bugs críticos a considerar, Breen sinaliza CVE-2022-2017 (CVSS 8.8), um problema de RCE no também onipresente Cliente de Desktop Remoto (RDP).
“Com mais trabalhadores remotos do que nunca, as empresas precisam colocar qualquer coisa que afete o RDP no radar — especialmente dada a sua popularidade com atores de ransomware e corretores de acesso”, adverte.
O bug do Active Directory (CVE-2022-26923, CVSS 8.8) é encontrado em Serviços de Domínio e pode permitir a elevação do privilégio graças a um problema com a emissão de certificados. O ZDI, que relatou o bug, diz que um invasor pode ter acesso a um certificado para autenticar em uma DC com um alto nível de privilégio, permitindo que qualquer usuário autenticado pelo domínio se torne um administrador de domínio se os Serviços de Certificado de Diretório Ativo estiverem sendo executados.
“Esta é uma implantação muito comum”, diz Childs. “Considerando a gravidade deste inseto e a relativa facilidade de exploração, não me surpreenderia ver ataques ativos usando essa técnica mais cedo ou mais tarde.”
Menos preocupante, diz Breen, há um grupo de 10 bugs de RCE no LDAP (o mais grave, CVE-2022-22012, tem uma pontuação CVSS de 9,8). Estes “parecem particularmente ameaçadores; no entanto, eles têm sido marcados pela Microsoft como ‘exploração menos provável’ pois exigem uma configuração padrão improvável de existir na maioria dos ambientes”, observa. “Não quer dizer que não há necessidade de corrigi-los, mas sim um lembrete de que o contexto é importante ao priorizar patches.”
O Pior do Resto
Um punhado de outras vulnerabilidades que também se destacaram para os pesquisadores valem a pena notar aqui, começando pelo Windows Print Spooler, que há muito apresenta um alvo atraente para os ciberataques.
“Houve várias vulnerabilidades do Windows Print Spooler corrigidas este mês, incluindo duas falhas de divulgação de informações (CVE-2022-29114, CVE-2022-29140) e duas elevações de falhas de privilégio (CVE-2022-29104, CVE-2022-29132)”, diz Satnam Narang, engenheiro de pesquisa da Tenable, ao Dark Reading. “Todas as falhas são classificadas como importantes, e duas das três são consideradas mais propensas a serem exploradas. O Windows Print Spooler continua a ser um alvo valioso para os atacantes desde que o PrintNightmare foi divulgado há quase um ano. As falhas de elevação do privilégio, em particular, devem ser cuidadosamente priorizadas, pois vimos grupos de ransomware como Conti favorecê-los como parte de seu manual.”
Breen também destacou dois outros bugs de classificação importante como prioridades de patches:
- CVE-2022-29108, uma falha remotamente executável no Sharepoint que provavelmente poderia ser abusada por um atacante que busca se mover lateralmente através de uma organização. “Exigindo acesso autenticado à exploração, ele poderia ser usado por um ator de ameaças para roubar informações confidenciais ou injetar documentos com códigos ou macros maliciosos que poderiam fazer parte de uma cadeia de ataque mais ampla”, adverte Breen.
- Um bug na Fábrica de Dados do Azure (sem CVE atribuído) é remotamente explorável e pode expor os dados confidenciais de uma empresa, de acordo com Breen.
O CTO da Virsec e co-fundador Satya Gupta diz que, no geral, o contexto mais amplo das tendências de patches da Microsoft é importante a considerar para os defensores. Especificamente, no último ano, mais de um terço das manchas (1.330, ou 36%) são para questões de RCE.
“Isso, é claro, representa uma grande oportunidade para atores mal-intencionados comprometerem quase qualquer cliente”, diz ele. “No total, várias das vulnerabilidades de Maio representam um nível de exposição do Log4j, particularmente se você considerar o que seria necessário para corrigir milhões de servidores.”
FONTE: DARK READING