Microsoft elimina bugs de dia zero ativamente explorados

Microsoft elimina bugs de dia zero ativamente explorados em atualização de dezembro.

A Microsoft lançou correções para 48 novas vulnerabilidades em seus produtos, incluindo uma que os invasores estão explorando ativamente e outra que foi divulgada publicamente, mas não está sob exploração ativa agora.

Seis das vulnerabilidades que a empresa corrigiu em sua atualização de segurança mensal final do ano estão listadas como críticas. Ele atribuiu uma classificação de gravidade importante a 43 vulnerabilidades e deu a três falhas uma avaliação de gravidade moderada.

A atualização da Microsoft inclui patches para CVEs fora de banda resolvidos no mês passado, além de 23 vulnerabilidades na tecnologia de navegador Chromium do Google, na qual o navegador Edge da Microsoft é baseado.

Bug de segurança explorado ativamente

A falha que os invasores estão explorando ativamente ( CVE-2022-44698 ) não está entre os bugs mais críticos para os quais a Microsoft lançou patches hoje. A falha oferece aos invasores uma maneira de contornar o recurso de segurança Windows SmartScreen para proteger os usuários contra arquivos maliciosos baixados da Internet.

“Um invasor pode criar um arquivo malicioso que evitaria as defesas do Mark of the Web (MOTW), resultando em uma perda limitada de integridade e disponibilidade de recursos de segurança, como o Protected View no Microsoft Office, que depende da marcação MOTW”, disse a Microsoft.

O CVE-2022-44698 apresenta apenas um risco relativamente pequeno para as organizações, diz Kevin Breen, diretor de pesquisa de ameaças cibernéticas da Immersive Labs. “Tem que ser usado em parceria com um arquivo executável ou outro código malicioso como um documento ou arquivo de script“, diz Breen. “Nessas situações, este CVE ignora algumas das varreduras e detecção de reputação integradas da Microsoft – ou seja, SmartScreen, que normalmente apareceria para informar ao usuário que o arquivo pode não ser seguro“.

Ao mesmo tempo, os usuários não devem subestimar a ameaça e devem corrigir o problema rapidamente, recomenda Breen.

A Microsoft descreveu outra falha – um problema de elevação de privilégio no kernel do DirectX Graphics – como um dia zero conhecido publicamente, mas não sob exploração ativa. A empresa avaliou a vulnerabilidade ( CVE-2022-44710 ) como sendo “Importante” em gravidade e que permitiria a um invasor obter privilégios no nível do sistema se explorada. No entanto, a empresa descreveu a falha como aquela que os invasores têm menos probabilidade de explorar.

Vulnerabilidades para corrigir agora

A ZDI da Trend Micro sinalizou três outras vulnerabilidades na atualização de segurança Patch Tuesday de dezembro como sendo significativas: CVE-2022-44713 , CVE-2022-41076 e CVE-2022-44699 .

CVE-2022-44713 é uma vulnerabilidade de falsificação no Microsoft Outlook para Mac. A vulnerabilidade permite que um invasor apareça como um usuário confiável e faça com que a vítima confunda uma mensagem de e-mail como se fosse de um usuário legítimo.

“Não costumamos destacar bugs de spoofing, mas sempre que você estiver lidando com um bug de spoofing em um cliente de e-mail, você deve prestar atenção”, disse o chefe de conscientização sobre ameaças da ZDI, Dustin Childs , em uma postagem no blog . A vulnerabilidade pode ser especialmente problemática quando combinada com a já mencionada falha de desvio do SmartScreen MoTW que os invasores estão explorando ativamente, disse ele.

CVE-2022-41076 é uma vulnerabilidade de execução remota de código (RCE) do PowerShell que permite que um invasor autenticado escape da configuração de sessão remota do PowerShell e execute comandos arbitrários em um sistema afetado, disse a Microsoft.

A empresa avaliou a vulnerabilidade como algo que os invasores têm maior probabilidade de comprometer, mesmo que a própria complexidade do ataque seja alta. De acordo com Childs, as organizações devem prestar atenção à vulnerabilidade porque é o tipo de falha que os invasores costumam explorar quando procuram “viver da terra” depois de obter acesso inicial a uma rede.

“Definitivamente, não ignore este patch”, escreveu Childs.

E, finalmente, CVE-2022-44699 é outra vulnerabilidade de desvio de segurança — desta vez no Azure Network Watcher Agent — que, se explorada, pode afetar a capacidade de uma organização de capturar logs necessários para resposta a incidentes.

“Pode não haver muitas empresas contando com essa ferramenta, mas para aqueles que usam essa extensão de VM [Azure Network Watcher], essa correção deve ser tratada como crítica e implantada rapidamente”, disse Childs.

Pesquisadores do Cisco Talos identificaram três outras vulnerabilidades como críticas e problemas que as organizações precisam resolver imediatamente. Um deles é o CVE-2022-41127, uma vulnerabilidade RCE que afeta o Microsoft Dynamics NAV e as versões locais do Microsoft Dynamics 365 Business Central. Uma exploração bem-sucedida pode permitir que um invasor execute código arbitrário em servidores que executam o aplicativo Dynamics NAV ERP da Microsoft, disseram pesquisadores da Talos em um post de blog.

As outras duas vulnerabilidades que o fornecedor considera de alta importância são CVE-2022-44670 e CVE-2022-44676 , ambas falhas RCE no Windows Secure Socket Tunneling Protocol (SSTP).

“A exploração bem-sucedida dessas vulnerabilidades exige que um invasor vença uma condição de corrida, mas pode permitir que um invasor execute código remotamente em servidores RAS”, de acordo com o comunicado da Microsoft.

Entre as vulnerabilidades que o SANS Internet Storm Center identificou como importantes estão ( CVE-2022-41089 ), um RCE no .NET Framework e ( CVE-2022-44690 ) no Microsoft SharePoint Server.

Em uma postagem no blog , Mike Walters, vice-presidente de vulnerabilidade e pesquisa de ameaças da Action1 Corp., também apontou para uma vulnerabilidade de elevação de privilégio do Windows Print Spooler ( CVE-2022-44678 ), como outro problema a ser observado.

“É mais provável que o CVE-2022-44678 recém-resolvido seja explorado, o que provavelmente é verdade porque a Microsoft corrigiu outra vulnerabilidade de dia zero relacionada ao Print Spooler no mês passado”, disse Walters. “O risco do CVE-2022-44678 é o mesmo: um invasor pode obter privilégios de SISTEMA após uma exploração bem-sucedida – mas apenas localmente”.

Uma contagem de bugs confusa

Curiosamente, vários fornecedores tiveram opiniões diferentes sobre o número de vulnerabilidades que a Microsoft corrigiu este mês. A ZDI, por exemplo, avaliou que a Microsoft corrigiu 52 vulnerabilidades; Talos fixou o número em 48, SANS em 74, e Action1 inicialmente tinha Microsoft corrigindo 74, antes de revisá-lo para 52.

Johannes Ullrich, reitor de pesquisa do SANS Technology Institute, diz que o problema tem a ver com as diferentes maneiras de contar as vulnerabilidades. Alguns, por exemplo, incluem vulnerabilidades do Chromium em sua contagem, enquanto outros não.

Outros, como o SANS, também incluem avisos de segurança que às vezes acompanham as atualizações da Microsoft como vulnerabilidades. Às vezes, a Microsoft também lança patches durante o mês, que também inclui na próxima atualização do Patch Tuesday, e alguns pesquisadores não os contam.

“A contagem de patches às vezes pode ser confusa, já que o ciclo do Patch Tuesday é tecnicamente de novembro a dezembro, então isso também incluirá patches que foram lançados fora da banda no início do mês e também pode incluir atualizações de fornecedores terceirizados“, diz Breen. “O mais notável deles são os patches do Google do Chromium, que é a base do navegador Edge da Microsoft”.
Breen diz que, por sua contagem, há 74 vulnerabilidades corrigidas desde a última Patch Tuesday em novembro. Isso inclui 51 da Microsoft e 23 do Google para o navegador Edge.

“Se excluirmos os [patches] fora de banda e do Google Chromium, 49 patches para vulnerabilidades foram lançados hoje“, diz ele.

Um porta-voz da Microsoft disse que o número de novos CVEs para os quais a empresa emitiu patches hoje foi de 48.

Fonte: Darkreading