0
0
O Patch Tuesday de maio de 2022 está aqui, e a Microsoft marcou-o lançando correções para 74 vulnerabilidades numeradas cve, incluindo um dia zero sob ataque ativo (CVE-2022-26925) e duas vulnerabilidades publicamente conhecidas (CVE-2022-29972 e CVE-2022-22713).
Vulnerabilidades de nota específica
Em primeiro lugar, temos o CVE-2022-26925, uma vulnerabilidade de falsificação “importante” na Windows Local Security Authority (LSA) que pode se transformar em uma “crítica” se combinada com ataques de relé NTLM.
“Sendo ativamente explorado na natureza, essa [vulnerabilidade] permite que um invasor se autue como usuário aprovado como parte de um ataque de relé NTLM – permitindo que os atores de ameaças tenham acesso aos hashes dos protocolos de autenticação”, observou Kevin Breen, diretor de pesquisa de ameaças cibernéticas da Immersive Labs.
“Embora todos os servidores sejam afetados – os controladores de domínio devem ser uma prioridade para a proteção, pois, uma vez explorados, isso fornece acesso de alto nível a privilégios, muitas vezes conhecidos como ‘as chaves do reino’.”
A complexidade de explorar o CVE-2022-26925 é considerada alta porque a exploração exige que um invasor seja posicionado como um invasor no meio, acrescentou Satnam Narang, engenheiro de pesquisa de pessoal da Tenable, e juntou-se à Microsoft para instar os administradores a corrigir essa falha, em seguida, segui-lo com uma revisão de dois documentos que delimitam medidas adicionais para mitigar ataques adicionais contra os Serviços de Certificado de Diretório Ativo.
Em seguida, temos cve-2022-29972, uma falha em um conector de dados ODBC de terceiros usado para se conectar à Amazon Redshift em pipelines Azure Synapse e Ozure Data Factory Integration Runtime.
Descoberta e relatada pela Orca Security, a vulnerabilidade “poderia ter permitido que um invasor realizasse execução remota de comando em infraestrutura de RI não se limitando a um único inquilino”, de acordo com a Microsoft, mas aparentemente não foi encontrada e explorada por ninguém, exceto os pesquisadores da Orca.
A Microsoft, de fato, atenuou a vulnerabilidade há quase um mês, e compartilhou um post detalhado no blog detalhando suas ações de mitigação, bem como ações que alguns clientes devem tomar para implementar as atualizações de segurança fornecidas para que os invasores não possam aproveitar a falha para expor os dados confidenciais de sua organização.
Dustin Childs, da Iniciativa Zero Day da Trend Micro, destacou o CVE-2022-26923, um bug EOP nos Serviços de Domínio do Diretório Ativo, que pode permitir que os invasores obtenham um certificado que lhes permita autenticar para um controlador de domínio com um alto nível de privilégio – tudo o que eles precisam é incluir dados criados em uma solicitação de certificado.
“Em essência, qualquer usuário autenticado de domínio pode se tornar um administrador de domínio se os Serviços de Certificado de Diretório Ativo estiverem sendo executados no domínio. Esta é uma implantação muito comum. Considerando a gravidade desse inseto e a relativa facilidade de exploração, não me surpreenderia ver ataques ativos usando essa técnica mais cedo ou mais tarde”, observou.
Ele também aconselhou os administradores que trabalham com ambientes mistos do Windows/Linux/Unix a corrigir rapidamente o CVE-2022-26937, um RCE não autenticado no serviço NFS (Windows Network File System).
Marcado pela Microsoft como “exploração mais provável”, o CVE-2022-26937 tem potencial para ser prejudicial, acrescentou Breen.
“Esses tipos de vulnerabilidades potencialmente apelarão para os operadores de ransomware, pois podem levar ao tipo de exposição de dados críticos, muitas vezes parte de uma tentativa de resgate. Também é importante que as equipes de segurança observem que o NFS Role não é uma configuração padrão para dispositivos Windows.”
FONTE: HELPNET SECURITY