Exploits e vulnerabilidades no 3º trimestre de 2024

Exploits e vulnerabilidades no 3º trimestre de 2024

O terceiro trimestre de 2024 viu várias vulnerabilidades descobertas em subsistemas Windows e Linux que não são padrão para ataques cibernéticos. Isso ocorre porque os desenvolvedores de sistemas operacionais estão lançando novas mitigações de segurança para conjuntos inteiros de vulnerabilidades em subsistemas comumente usados. Por exemplo, um verificação de integridade de log está definido para aparecer no Common Log Filing System (CLFS) no Windows, portanto, o número de Exploits para ele cairá. Quanto ao Linux, este sistema operacional tem o Protetor de tempo de execução do kernel Linux (LKRG), implementado como um módulo de kernel separado. Embora a primeira versão do LKRG tenha sido lançada em 2018, ela está passando por um refinamento constante. E está se tornando mais ativamente usado em várias compilações do Linux.

Estatísticas sobre vulnerabilidades registradas

Como de costume, esta seção apresenta estatísticas sobre vulnerabilidades registradas. Os dados são retirados de cve.org.

Número total de vulnerabilidades registadas e número de vulnerabilidades críticas, 3.º trimestre de 2023 e 3.º trimestre de 2024 (baixar)

O 3º trimestre de 2024 manteve a tendência de aumento no número de vulnerabilidades detectadas e registradas. Como antes, o gráfico mostra um aumento em relação ao mesmo período de 2023 tanto no número total de vulnerabilidades quanto no número de vulnerabilidades críticas. Notavelmente, o número de vulnerabilidades descobertas nos três trimestres é quase quatro quintos de todo o número do ano passado, mais uma evidência de um aumento acentuado.

Número de vulnerabilidades e percentagens das vulnerabilidades críticas e das explorações para as quais existem Exploits, 2019 — 2024 (baixar)

O número total de publicações pela primeira vez de PoCs para novos CVEs aumentou 2%, o que indica uma aceleração na criação de exploits. O aumento no número de PoCs também pode ser devido ao fato de que os pesquisadores de segurança estão cada vez mais não apenas comentando sobre a detecção de vulnerabilidades, mas divulgando dados detalhados que incluem uma exploração. A maioria dos PoCs aparece dentro de uma semana após os desenvolvedores de software vulnerável lançarem um patch.

Estatísticas de exploração

Esta seção apresenta estatísticas sobre o uso de exploits no 3º trimestre de 2024. Os dados são obtidos de fontes abertas e de telemetria própria.

Exploração de vulnerabilidades do Windows e Linux

Entre os Exploits detectados pelas soluções da Kaspersky para Windows estão aquelas para vulnerabilidades relativamente novas que estão ganhando popularidade. Isso inclui vulnerabilidades no WinRAR, Microsoft Office, Windows Error Reporting Service e Microsoft Streaming Service Proxy:

• CVE-2023-38831 – uma vulnerabilidade no WinRAR relacionada ao manuseio incorreto de objetos em um arquivo;
• CVE-2023-23397 – uma vulnerabilidade que permite que um invasor roube dados de autenticação do Outlook;
• CVE-2023-36874 – uma vulnerabilidade de representação que permite que a função CreateProcess seja executada no usuário SYSTEM;
• CVE-2023-36802 – uma vulnerabilidade UAF no driver mskssrv.sys.

Enquanto isso, as vulnerabilidades mais comuns nos produtos Microsoft Office são bastante antigas:

• CVE-2018-0802 – uma vulnerabilidade de execução remota de código no componente Equation Editor;
• CVE-2017-11882 – outra vulnerabilidade de execução remota de código no Equation Editor;
• CVE-2017-0199 – Vulnerabilidade do Microsoft Office e WordPad que pode ser usada para obter controle sobre o sistema da vítima;
• CVE-2021-40444 – uma vulnerabilidade de execução remota de código no componente MSHTML.

Como essas vulnerabilidades antigas são aproveitadas como ferramentas para acesso inicial aos sistemas do usuário, recomendamos atualizar o software relevante.

Dinâmica do número de usuários do Windows que encontraram exploits, 1º trimestre de 2023 — 3º trimestre de 2024. O número de usuários que encontraram exploits no 1º trimestre de 2023 é considerado 100% (baixar)

Para Linux, os produtos Kaspersky detectaram Exploits para as seguintes vulnerabilidades:

• CVE-2023-2640 – uma vulnerabilidade no módulo do kernel OverlayFS. Permite que rótulos privilegiados sejam aplicados a arquivos que podem ser usados após a montagem do sistema de arquivos;
• CVE-2023-22809 – uma vulnerabilidade no utilitário Sudo que permite que um invasor execute comandos em outro usuário no sistema. Um invasor pode ignorar as configurações iniciais que restringem o acesso à funcionalidade do utilitário e agir como qualquer usuário;
• CVE-2023-4911 – uma vulnerabilidade no carregador dinâmico ld.so relacionada a um estouro de buffer ao processar a variável de ambiente GLIBC_TUNABLES;
• CVE-2023-32233 – uma vulnerabilidade UAF no subsistema Netfilter que permite gravar e ler dados em endereços arbitrários na memória do kernel;
• CVE-2023-3269 – uma vulnerabilidade UAF no sistema de gerenciamento de memória do kernel que permite que um invasor execute código arbitrário;
• CVE-2023-31248 – uma vulnerabilidade UAF em nftables que permite que um invasor execute código arbitrário quando as regras de firewall estão sendo processadas.

Mudanças no número de usuários do Linux que encontraram exploits no 1º trimestre de 2023 — 3º trimestre de 2024. O número de usuários que encontraram exploits no 1º trimestre de 2023 é considerado 100% (baixar)

Como mostram as estatísticas de detecção e a lista de exploits comuns do Linux, é fundamental atualizar os componentes do kernel e os aplicativos que você usa regularmente.

Exploits mais comuns

Distribuição de explorações de vulnerabilidades críticas por plataforma, 1.º trimestre de 2024 (baixar)

Distribuição de explorações para vulnerabilidades críticas por plataforma, 2.º trimestre de 2024 (baixar)

Distribuição de explorações para vulnerabilidades críticas por plataforma, 3.º trimestre de 2024 (baixar)

No 3º trimestre, as vulnerabilidades que têm exploits viáveis e são consideradas as mais críticas (de acordo com nossa metodologia) eram mais propensas do que antes a estarem relacionadas a subsistemas do sistema operacional. Isso ocorre porque os pesquisadores, assim como os invasores, dão preferência ao código que está presente no sistema operacional, independentemente do software que o usuário prefere. Isso permite que eles atinjam mais dispositivos e encontrem novas maneiras de executar comandos em sistemas vulneráveis.

Exploração de vulnerabilidades em ataques APT

Analisamos quais vulnerabilidades foram usadas com mais frequência em ameaças persistentes avançadas (APTs) no terceiro trimestre. A classificação abaixo é baseada em nossa telemetria, pesquisa e fontes abertas.

Vulnerabilidades do TОР 10 exploradas em ataques APT, 3º trimestre de 2024

A lista de vulnerabilidades exploradas em ataques APT mudou desde o último trimestre. Agora inclui vulnerabilidades que concedem acesso a sistemas que executam aplicativos da Web e servidores de e-mail. Algumas das vulnerabilidades são bastante recentes, com uma sendo registrada no ano passado e três este ano. Dito isso, a maioria das vulnerabilidades listadas tem pelo menos três anos. Isso sugere que o desenvolvimento de exploits para novas vulnerabilidades é uma tarefa mais difícil do que escrever um novo código para as conhecidas. Quanto mais tempo um problema permanece sem correção, mais informações sobre ele estão disponíveis para os invasores, pois pesquisadores e fornecedores publicam dados sobre vulnerabilidades. Além disso, se os alvos em potencial não corrigirem vulnerabilidades antigas por qualquer motivo, não há necessidade de os invasores procurarem novas. Isso só mostra mais uma vez como é importante atualizar os sistemas em tempo hábil.

Vulnerabilidades interessantes

Esta seção apresenta informações sobre vulnerabilidades de interesse que foram registradas no 3º trimestre de 2024.

CVE-2024-47177 (filtros CUPS)

O problema foi descoberto na versão Linux do COPOS, um kit de ferramentas de impressão para sistemas operacionais do tipo Unix, como iOS, macOS e Linux. Especificamente, o CUPS ajuda a gerenciar impressoras em uma rede local. Veja abaixo um fluxograma de como funciona.

Fluxograma CUPS

Para iniciar qualquer trabalho, o agendador do CUPS cria um arquivo de trabalho. O arquivo pode conter informações de configuração de impressão e comandos PostScript especiais. Um desses comandos, FoomaticRIPCommandLine, contém uma vulnerabilidade lógica que permite que comandos arbitrários sejam executados no shell do sistema operacional. Para explorar a vulnerabilidade, um invasor só precisa criar uma configuração de impressora maliciosa, mas para executar o código, o usuário deve ser persuadido a imprimir qualquer documento nessa impressora. O código malicioso é executado automaticamente quando a impressão começa.

O principal problema com o CUPS é a falta de restrições sobre as ações que podem ser executadas no sistema usando este kit de ferramentas. Para detectar uma exploração da vulnerabilidade, é essencial monitorar os comandos executados por parte do filtro de impressão foomatic-rip.

CVE-2024-38112 (falsificação de MSHTML)

Descoberta em ataques ativos realizados em maio de 2024, essa vulnerabilidade pode ser usada para executar código em um sistema por meio de uma versão antiga do Internet Explorer. Ele decorre da capacidade de criar um arquivo .url malicioso que ignora o Microsoft Edge e executa uma versão antiga do Internet Explorer. Isso é obtido usando !x-usc, uma diretiva especial que deve ser tratada pelo protocolo MSHTML. Esse truque lembra a exploração de outra vulnerabilidade popular no Microsoft Office, CVE-2021-40444, sobre a qual escrevemos aqui.

Ao pesquisar a vulnerabilidade, descobrimos que, no início de agosto, um exploit com funcionalidade semelhante ao exploit para CVE-2024-38112 estava à venda na dark web:

Captura de tela de um anúncio que vende um exploit, presumivelmente para CVE-2024-38112 (dados fornecidos por Inteligência de pegada digital da Kaspersky)

Esses ataques podem ser evitados colocando e-mails na lista de bloqueios com anexos de arquivo .url e, é claro, aplicando Patch da Microsoft.

CVE-2024-6387 (registro)

Problemas de segurança com a ferramenta OpenSSH sempre reverberam por toda parte, já que muitos sistemas são executados no kernel Linux, onde efetivamente a principal maneira de acessar remotamente a funcionalidade do sistema operacional é por meio de um servidor SSH. Em 2023, por exemplo, descobriu-se que a vulnerabilidade CVE-2023-51385 existia em todas as versões do OpenSSH até 9.6 – a dark web estava vendendo um exploit que também cobria essa versão invulnerável, mas pode ter sido um manequim:

Anúncio que vende um exploit para OpenSSH (dados fornecidos por Inteligência de pegada digital da Kaspersky)

Uma nova vulnerabilidade, CVE-2024-6387, apelidada de regreSSHion, também causou um rebuliço no terceiro trimestre de 2024. O problema surge durante a autenticação SSH. O código vulnerável está localizado no manipulador SIGALRM, que é executado de forma assíncrona e usa funções não seguras para interagir com a memória. Isso torna possível lançar um ataque ao sistema no mesmo estágio em que o servidor SSH recebe dados de autenticação.

Os agentes de ameaças usaram o regreSSHion para atacar pesquisadores de uma maneira muito não convencional. Assim que o princípio geral da vulnerabilidade foi publicado, houve apareceram PoCs falsos e vários projetos de malware que na realidade não tinham nada a ver com regreSSHion.

No momento em que este post foi escrito, cerca de 105 projetos falsos haviam sido publicados online alegando conter um exploit para CVE-2024-6387. No entanto, uma prova de conceito (PoC) funcional para essa vulnerabilidade ainda não foi publicada.

CVE-2024-3183 (IPA grátis)

Uma vulnerabilidade encontrada dentro do FreeIPA de código aberto, que fornece gerenciamento de identidade centralizado e autenticação para sistemas Linux. O problema ocorre durante a autenticação Kerberos. Um usuário com privilégios mínimos na rede pode farejar dados de criptografia de tíquetes e usá-los para realizar um Ataque Kerberoasting, o que os invasores fizeram anteriormente para obter acesso à infraestrutura baseada no Windows.

O mais interessante de tudo é que essa vulnerabilidade pode ser explorada executando uma atualização mínima do kit de ferramentas usado para ataques Kerberoasting em sistemas Windows Active Directory.

Uma contramedida eficaz é esta remendo, mas se por algum motivo a instalação não for possível, você precisará monitorar as solicitações de tíquetes para usuários (principais) que estão na rede FreeIPA e são diferentes do usuário que faz a solicitação.

CVE-2024-45519 (Zimbra)

Uma vulnerabilidade no serviço postjournal que permite que um invasor manipule mensagens de email. O que a vulnerabilidade permite essencialmente é um ataque de injeção de comando do sistema operacional em sua forma mais simples. Um invasor com a capacidade de enviar emails para o servidor pode especificar no campo Para de uma mensagem uma carga a ser executada no serviço de destino. O comando será executado com os privilégios do usuário de e-mail.

Você pode se proteger contra essa vulnerabilidade desativando o serviço de postjournal ou atualizando o servidor de e-mail para a versão mais recente. No momento da postagem, não era mais possível instalar o postjournal vulnerável. Em vez disso, a versão corrigida é carregada automaticamente ao implantar o servidor de e-mail.

CVE-2024-5290 (Ubuntu wpa_supplicant)

Wpa_supplicant é um conjunto de ferramentas para lidar com protocolos de segurança sem fio. Inclui utilitários com interfaces gráficas e terminais.

Essas interfaces podem ser usadas diretamente por meio da linha de comando ou por meio de mecanismos RPC. O sistema operacional Ubuntu usa D-Bus para descrever funções RPC. Essa tecnologia pode ser usada para se comunicar com um aplicativo e aproveitar sua funcionalidade. Foi uma interface RPC mal configurada que causou a vulnerabilidade wpa_supplicant: as configurações padrão permitiam que um usuário comum acessasse funcionalidades bastante críticas.

Por meio dessa vulnerabilidade, qualquer arquivo .so pode ser carregado na memória do processo, com seu caminho especificado pelo usuário ao fazer interface com wpa_supplicant via D-Bus.

Conclusão e conselhos

O número de vulnerabilidades descobertas para as quais existem PoCs em funcionamento continua a crescer. Alguns exploits são vendidos na dark web, outros são de domínio público. Além disso, os agentes de ameaças aproveitam não apenas PoCs reais, mas também o interesse no tópico de vulnerabilidades de alto perfil. Por exemplo, eles criam exploits falsos para atacar pesquisadores de segurança: enquanto a vítima estuda o comportamento do pseudo-exploit, uma carga maliciosa totalmente diferente compromete seu sistema.

Para se manter seguro, é essencial responder prontamente ao cenário de ameaças em evolução. Além disso, certifique-se de que:

• Nunca pesquise exploits de vulnerabilidades fora de um ambiente virtual seguro.
• Conheça o seu caminho e monitorize de perto a sua infraestrutura, prestando especial atenção ao perímetro.
• Sempre que possível, instale patches para vulnerabilidades assim que estiverem disponíveis. Soluções especializadas, como Avaliação de vulnerabilidades e gerenciamento de patches e Feed de dados de vulnerabilidade da Kaspersky pode automatizar e simplificar o gerenciamento de vulnerabilidades e patches.
• Use soluções abrangentes que apresentam não apenas proteção básica contra malware, mas também cenários de resposta a incidentes, treinamento de conscientização de funcionários e um banco de dados atualizado de ameaças cibernéticas. 

Fonte: SecureList

Veja também:

• Para o cibercrime todo dia é Black Friday ou Cyber Monday
• QNAP corrige falhas críticas no software do NAS e do roteador
• Huawei e MEC lançam programa “Mulheres para a Tecnologia Brasileira” 
• Cloudflare perdeu 55% dos logs enviados aos clientes por 3,5 horas
• Descoberto o primeiro malware de bootkit UEFI para Linux
• Golpe em estações de recarga de carro elétrico
• Empresas foram atacadas 174 milhões de vezes em 12 meses
• Deloitte UK hackeada – Brain Cipher Group afirma ter roubado 1 TB de dados
• Proteção de dados e IA são tendências de cibersegurança em 2025
• Alerta de vulnerabilidades: Microsoft, Facebook e WordPress
• 1 milhão de jogadores em risco
• Setor financeiro é alvo principal de cibercriminosos