Microsoft corrigi bugs críticos de Zero Day e Wormable ativamente explorados

Microsoft corrigi bugs críticos de Zero Day e Wormable ativamente explorados. Na atualização mais leve do Patch Tuesday do ano até agora, várias vulnerabilidades de segurança se destacam como patch obrigatório, alertam os pesquisadores.

A Microsoft abordou bugs de dia zero com classificação importante em sua atualização Patch Tuesday de setembro, incluindo uma escalação de privilégios local (LPE) que está sendo ativamente explorada na natureza. Para complementar, ela divulgou três vulnerabilidades críticas separadas que podem ser usadas para ataques de worms.

Os patches fazem parte de um cache de apenas 64 vulnerabilidades corrigidas da Microsoft esta semana, a menor em qualquer mês deste ano (e uma redução de quase 50% em relação a agosto). Os bugs divulgados afetam o Microsoft Windows e os Componentes do Windows; Azure e Azure Arc; .NET, Visual Studio, .NET Framework; Microsoft Edge (baseado no Chromium); Office e Componentes do Office; Proteção do Windows; e Kernel Linux.

Vulnerabilidades de dia zero

A vulnerabilidade explorada ativamente ( CVE-2022-37969 , com pontuação CVSS de 7,8) existe no Windows Common Log File System Driver, que é um subsistema de log de uso geral introduzido pela primeira vez no sistema operacional Windows 2003 R2 e que foi fornecido com todos os versões. Uma exploração para o bug permite que um invasor com acesso inicial ao sistema eleve seu privilégio para privilégios de SISTEMA sem nenhum clique.

Nenhum outro detalhe técnico está disponível, mas como a vulnerabilidade tem baixa complexidade e não requer interação do usuário, uma exploração provavelmente estará em breve no arsenal de white hats e black hats”, Mike Walters, executivo de segurança cibernética e cofundador da Action1 , escreveu em uma análise fornecida à Dark Reading. “É recomendado que você implante o patch o mais rápido possível.

Dustin Childs, da Zero Day Initiative (ZDI) da Trend Micro, observou que provavelmente está sendo implantado em um pacote organizado de cadeia de exploração.

Bugs dessa natureza são frequentemente envolvidos em alguma forma de ataque de engenharia social, como convencer alguém a abrir um arquivo ou clicar em um link”, escreveu ele em seu post no blog Patch Tuesday . “Uma vez que o fazem, o código adicional é executado com privilégios elevados para assumir o controle de um sistema.

Este é um bug para todos corrigirem rapidamente, ele enfatizou: “Normalmente, obtemos poucas informações sobre o quão difundido um exploit pode ser usado. No entanto, a Microsoft credita quatro agências diferentes relatando esse bug, então é provável que vá além de apenas ataques direcionados“.

O outro bug de dia zero ( CVE-2022-23960 ) existe no Windows 11 para sistemas baseados em ARM64. A Microsoft não forneceu mais detalhes e não recebeu uma pontuação CVSS, mas Bharat Jogi, diretor de pesquisa de vulnerabilidades e ameaças da Qualys, ofereceu contexto em um comentário por e-mail, observando que é uma questão de execução especulativa baseada em processador do tipo tornado infame com os ataques Spectre e Meltdown . Uma exploração bem-sucedida daria aos invasores acesso a informações confidenciais.

Esta é uma correção para uma vulnerabilidade conhecida como Spectre-BHB que afeta sistemas baseados em ARM64“, observou ele. “Esta vulnerabilidade é uma variante do Spectre v2 que se reinventou em várias ocasiões e afetou várias arquiteturas de processador desde sua descoberta em 2017.

Ele acrescentou: “Esta classe de vulnerabilidades representa uma grande dor de cabeça para as organizações que tentam mitigação, pois geralmente exigem atualizações nos sistemas operacionais, firmware e, em alguns casos, uma recompilação de aplicativos e proteção“.

Cinco erros críticos para setembro

Como mencionado, três dos bugs com classificação crítica podem ser vermifugados — ou seja, podem ser usados ​​para espalhar infecções de máquina para máquina sem interação do usuário.

O mais preocupante deles é provavelmente o CVE-2022-34718 , disseram os pesquisadores, que pode ser encontrado no Windows TCP/IP. Ele permite que um invasor remoto não autenticado execute código com privilégios elevados em sistemas afetados sem interação do usuário; e pode ser explorado enviando um pacote IPv6 especialmente criado para um nó do Windows onde o IPsec está habilitado.

Isso o coloca oficialmente na categoria ‘wormable’ e ganha uma classificação CVSS de 9,8“, disse Childs. “Definitivamente, teste e implante esta atualização rapidamente.

Deve-se notar que isso afeta apenas sistemas com IPv6 habilitado e IPsec configurado, mas essa é uma configuração comum.

“Se um sistema não precisar do serviço IPsec, desative-o o mais rápido possível“, disse Walters, da Action1. “Essa vulnerabilidade pode ser explorada em ataques à cadeia de suprimentos em que as redes do contratante e do cliente são conectadas por um túnel IPsec. Se você tiver túneis IPsec em sua infraestrutura do Windows, esta atualização é obrigatória.”

Os outros dois bugs wormable, CVE-2022-34722 e CVE-2022-34721 , são encontrados nas extensões de protocolo do Windows Internet Key Exchange (IKE). Ambos permitem o RCE enviando um pacote IP especialmente criado para uma máquina de destino que esteja executando o Windows e tenha o IPsec habilitado, e ambos carregam uma pontuação CVSS de 9,8.

Walters observou que a vulnerabilidade afeta apenas o IKEv1 e não o IKEv2. “No entanto, todos os servidores Windows são afetados porque aceitam pacotes V1 e V2“, escreveu ele. “Ainda não há exploit ou PoC detectado em estado selvagem; no entanto, é altamente recomendável instalar a correção.

Os dois bugs críticos finais ( CVE-2022-34700 e CVE-2022-35805 ) existem no Dynamics 365 (On-Premises) e “podem permitir que um usuário autenticado execute ataques de injeção de SQL e execute comandos como db_owner em seu Dynamics 356 banco de dados“, explicou Childs. Eles têm uma pontuação CVSS de 8,8.

Outras vulnerabilidades de nota

Quanto às falhas não críticas para prestar atenção primeiro este mês, Childs também sinalizou um bug de negação de serviço no servidor DNS do Windows ( CVE-2022-34724 , pontuação CVSS de 7,5), que pode ser explorado por invasor remoto não autenticado para derrubar serviço DNS usado para se conectar a recursos e sites da nuvem.

Embora não haja chance de execução de código, o bug deve ser tratado como crítico, acrescentou. “Com tantos recursos na nuvem, uma perda de DNS apontando o caminho para esses recursos pode ser catastrófica para muitas empresas“, disse Childs.

A análise Patch Tuesday do Rapid7 deste mês, enviada por e-mail, também observou que os administradores do SharePoint também devem estar cientes de quatro bugs RCE separados, todos classificados como importantes ( CVE-2022-35823 , CVE-2022-37961 , CVE-2022-38008 e CVE -2022-38009 ).

E há uma grande variedade de bugs RCE que afetam o provedor OLE DB para SQL Server e o driver ODBC da Microsoft ( CVE-2022-34731 ; CVE-2022-34733 , CVE-2022-35834 , CVE-2022-35835 , CVE-2022-35836 e CVE-2022-35840 ).

Eles exigem alguma engenharia social para explorar, convencendo um usuário a se conectar a um SQL Server malicioso ou abrir um arquivo .mdb (Access) criado com códigos maliciosos“, explicou Greg Wiseman, gerente de produto da Rapid7, na análise.

No geral, os administradores devem ter mais facilidade em analisar a carga de patches mais leve este mês, mas Childs, da ZDI, observou que a coleção menor está alinhada com o volume de patches das versões anteriores de setembro. Jogi, da Qualys, também apontou que, embora o Patch Tuesday de setembro seja mais leve, a Microsoft atingiu um marco de corrigir o 1.000º CVE do ano, o que significa que a gigante do software “provavelmente está a caminho de superar 2021, que corrigiu 1.200 CVEs em total.

Fonte: Dark Reading 

Veja também:

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!