0
0
A Microsoft lançou hoje patches para 84 vulnerabilidades em todas as suas categorias de produtos, incluindo um bug agora ativamente explorado e quatro que a empresa classificou como gravidade crítica.
A atualização de segurança de julho também inclui correções para quatro vulnerabilidades de elevação de privilégios na tecnologia Windows Print Spooler perenemente com bugs da empresa e mais de 30 bugs em seu serviço de recuperação de desastres Azure Site Recovery. Pelo menos 12 das 84 falhas divulgadas hoje permitem a execução remota de código, 11 estavam relacionadas à divulgação de informações e quatro permitem contornar os recursos de segurança. A maioria das falhas restantes permitiu a elevação do privilégio.
Prioridade Um: CVE-2022-22047
Especialistas em segurança que revisaram a atualização mais recente da Microsoft disseram que a vulnerabilidade que requer atenção imediata é uma vulnerabilidade de elevação de privilégios (CVE-2022-22047) no Subsistema de Tempo de Execução do Servidor Cliente do Windows (CSRSS) que está sendo explorado atualmente. A própria Microsoft avaliou a vulnerabilidade como “Importante”, dando-lhe uma classificação de gravidade de 7,8 em uma escala de 10. De acordo com a empresa, a vulnerabilidade — como todos os outros bugs na atualização de julho — não foi divulgada publicamente. Mesmo assim, a Microsoft descreveu o bug como sendo ativamente explorado, mas não forneceu mais informações.
“A vulnerabilidade permite que um invasor execute código como SISTEMA, desde que possa executar outro código no alvo”, observou uma análise no blog da Trend Micro Zero Day Initiative. “Os bugs desse tipo geralmente são emparelhados com um bug de execução de código, geralmente um documento do Office ou da Adobe especialmente criado, para assumir um sistema.” Ataques desse tipo geralmente alavancam macros, e é por isso que a recente decisão da Microsoft de atrasar o bloqueio de todas as macros por padrão — como anunciado em fevereiro — é desanimadora, observou o blog.
Chris Goettl, vice-presidente de gerenciamento de produtos para produtos de segurança da Ivanti, diz que as organizações não devem ser amordatadas pela caracterização da Microsoft da falha como importante. O fato de os atacantes estarem explorando ativamente o bug o torna uma prioridade, diz ele. “As organizações que priorizam o uso de métodos de classificação legados podem deixar de priorizar a urgência da atualização do sistema operacional este mês”, diz ele.
Outros Bugs Que Precisam de Atenção Urgente
Outros bugs na atualização de julho da Microsoft que os especialistas em segurança descreveram como prioritários: CVE-2022-30216, CVE-2022-22038, CVE-2022-30221 e CVE-2022-30222.
O CVE-2022-30216 é uma vulnerabilidade de adulteração de baixa complexidade no Serviço Windows Server que permitiria que um invasor autenticado enviasse remotamente um certificado para o serviço de servidor. A Microsoft descreveu a vulnerabilidade como uma vulnerabilidade com maior probabilidade de ser explorada porque não requer interação do usuário e privilégios de baixo nível. “Embora isso esteja listado em ‘Tampering’, um invasor que possa instalar seu próprio certificado em um sistema de destino poderia usar esse bug para vários fins, incluindo a execução de código”, disse o ZDI da Trend Micro. “Definitivamente teste e implante este patch rapidamente – especialmente em seus servidores críticos.”
CVE-2022-22038 é uma vulnerabilidade de execução remota de código de tempo de execução de chamada de procedimento remoto que pode permitir que um ataque não autenticado execute código malicioso em um sistema vulnerável. A Microsoft identificou o bug como sendo complexo de explorar porque exige que um invasor “invista tempo em tentativas repetidas de exploração por meio do envio de dados constantes ou intermitentes”. O ZDI da Trend Micro avaliou o bug como tendo propriedades que poderiam potencialmente torná-lo wormable. “Se a complexidade da exploração fosse baixa, o que alguns argumentariam, já que as tentativas provavelmente poderiam ser roteirizadas, o CVSS seria de 9,8. Teste e implante este rapidamente”, observou o fornecedor de segurança.
CVE-2022-30221 é uma vulnerabilidade de execução remota de código no Componente Gráfico do Windows. Um invasor pode explorar a vulnerabilidade convencendo um usuário a se conectar a um servidor RDP malicioso. Um adversário que consiga fazer isso seria capaz de executar código no contexto do usuário do sistema afetado, disse a Microsoft.
“Na superfície, este parece desagradável”, disse Kevin Breen, diretor de pesquisa de ameaças cibernéticas da Immersive Labs, em comentários enviados por e-mail para a Dark Reading. A Microsoft marcou a vulnerabilidade como menos propensa a ser explorada porque um invasor precisaria primeiro executar um servidor RDP malicioso e, em seguida, convencer uma vítima a se conectar a ele. “Isso não é tão absurdo quanto parece à primeira vista, já que os arquivos de atalho RDP podem ser enviados por e-mail para as vítimas-alvo, e esses tipos de arquivos podem não sinalizar como maliciosos por scanners e filtros de e-mail”, disse Breen.
CVE-2022-30222 é outra vulnerabilidade de execução remota de código — desta vez na interface gráfica do usuário do Windows Shell. A falha permite que um invasor não autenticado execute código em um sistema vulnerável interagindo com a tela de login de maneira específica, observou a Microsoft. Ataques direcionados à falha provavelmente envolvem pouca complexidade e nenhuma interação do usuário.
“Em que isso seja intitulado como uma vulnerabilidade de Execução Remota de Código, a descrição sugere que esta é realmente uma vulnerabilidade de Execução de Código Local”, disse Breen. Parece que a falha permitiria que um invasor executasse comandos arbitrários da página de login, pois a autenticação não é necessária, ele observou. “A Microsoft sugeriu que é menos provável que isso seja explorado. Mas se você usar o RDP, definitivamente priorize este patch”, disse Breen.
Falhas do Spooler de impressão do Windows fazem um retorno
A atualização de julho da Microsoft também contém correções para quatro falhas no Windows Print Spooler (CVE-2022-22022, CVE-2022-22041, CVE-2022-30206 e CVE-2022-30226). Falhas no Print Spooler têm sido um grande problema para os usuários do Windows nos últimos anos. Uma das falhas recentes mais notáveis na tecnologia foi o PrintNightmare, um bug de execução de código remoto que afetou todas as versões do Windows e levou a um aviso do governo dos EUA e de outros sobre a necessidade de as organizações lidarem com urgência.
“Vimos um fluxo constante de divulgações de vulnerabilidades no Serviço de Carretel de Impressão desde que as falhas originais do PrintNightmare foram divulgadas em junho (CVE-2021-1675) e início de julho de 2021 (CVE-2021-34527)”, disse Satnam Narang, engenheiro de pesquisa sênior da equipe da Tenable, em comentários enviados por e-mail para a Dark Reading As falhas que a Microsoft abordou na tecnologia são a elevação de falhas de privilégios, que fornecem aos atacantes a capacidade de obter privilégios no nível do sistema em sistemas vulneráveis, disse ele.
O risco com essas quatro correções é o potencial de afetar a funcionalidade de impressão, diz Goettl de Ivanti.
“Desde o PrintNightmare, houve muitas correções do Print Spooler e, em mais de um desses eventos de terça-feira, as mudanças resultaram em impactos operacionais”, diz ele. “Isso torna os administradores um pouco tímidos e garante alguns testes extras para garantir que não ocorram problemas negativos em sua organização.”
Surto de bugs de recuperação de sites do Azure
Goettl diz que a Microsoft resolveu 33 vulnerabilidades no Azure Site Recovery que poderiam permitir que os atacantes realizassem uma variedade de ações, incluindo execução remota de código, escalonamento de privilégios e roubo de informações. Nenhuma das vulnerabilidades foi divulgada publicamente ou está sendo explorada atualmente, mas a preocupação está no número de vulnerabilidades que foram corrigidas, observa Goettl. “Eles foram identificados por vários pesquisadores independentes e partes anônimas, o que significa que o conhecimento de como explorar essas vulnerabilidades é um pouco mais amplamente distribuído”, diz ele.
E a resolução dessas falhas não é simples: requer fazer login em cada servidor de processos como administrador e, em seguida, baixar e instalar a versão mais recente. “Vulnerabilidades como essa são muitas vezes fáceis de perder de controle, pois não são gerenciadas pelo processo típico de gerenciamento de patches”, observa ele.
FONTE: DARK READING