Vulnerabilidades Críticas MS Patch Tuesday, Adobe, Apple e Google

15/09/2021 mindsecblog Notícias 3

Vulnerabilidades Críticas MS Patch Tuesday, Adobe, Apple e Google. Atualizações podem já estar sendo exploradas e devem ser corrigidas imediatamente.

A Microsoft lançou nesta terça, 14 de setembro, atualizações de software para tapar dezenas de brechas de segurança no Windows e produtos relacionados, incluindo uma vulnerabilidade que já está sendo explorada em ataques ativos. Além disso, a Apple lançou uma atualização de emergência para consertar uma falha que supostamente foi usada para instalar spyware em produtos iOS , e o Google tem uma nova versão do Chrome que aborda duas falhas de dia zero. Finalmente, a Adobe lançou atualizações críticas de segurança para Acrobat Reader e uma série de outros softwares.

Quatro das falhas corrigidas neste lote de patch ganharam a classificação de “crítica” mais terrível da Microsoft, o que significa que eles podem ser explorados por malfeitores ou malware para comprometer remotamente um PC com Windows com pouca ou nenhuma ajuda do usuário.

No topo da pilha crítica está o CVE-2021-40444 , que afeta o componente “MSHTML” do Internet Explorer (IE) no Windows 10 e em muitas versões do Windows Server . Em um comunicado de segurança na semana passada , a Microsoft alertou que os invasores já estão explorando a falha por meio de aplicativos do Microsoft Office , bem como do Internet Explorer.

O bug crítico CVE-2021-36965 é interessante, pois envolve uma falha de execução remota de código no “WLAN AutoConfig”, o componente do Windows 10 e de muitas versões de servidor que lida com conexões automáticas para redes Wi-Fi. Um fator atenuante aqui é que o invasor e o alvo precisam estar na mesma rede, embora muitos sistemas sejam configurados para se conectar automaticamente a nomes de rede Wi-Fi com os quais se conectaram anteriormente.

Allan Liska, arquiteto de segurança sênior da Recorded Future , disse que uma vulnerabilidade semelhante – CVE-2021-28316 – foi anunciada em abril.

“CVE-2021-28316 era uma vulnerabilidade de desvio de segurança, não execução remota de código, e nunca foi relatado como explorado publicamente”, disse Liska. “Dito isso, a onipresença de sistemas implantados com WLAN AutoConfig habilitado pode torná-lo um alvo atraente para exploração.”

Kevin Breen, da Immersive Labs, chama a atenção para várias falhas de “escalonamento de privilégios” corrigidas pela Microsoft este mês, observando que, embora esses bugs tenham classificações de gravidade menores, a Microsoft os considera mais propensos a serem explorados por bandidos e malware.

“CVE-2021-38639 e CVE-2021-36975 também foram listados como ‘exploração mais provável’ e, juntos, cobrem toda a gama de versões do Windows com suporte”, escreveu Breem. “Estou começando a me sentir como um recorde quebrado ao falar sobre vulnerabilidades de escalonamento de privilégios. Eles normalmente têm uma pontuação CVSS mais baixa do que algo como a Execução Remota de Código, mas essas explorações locais podem ser o eixo nas fases de pós-exploração de um invasor experiente. Se você pode bloqueá-los aqui, você tem o potencial de limitar significativamente seus danos. Se presumirmos que um determinado invasor será capaz de infectar o dispositivo de uma vítima por meio de engenharia social ou outras técnicas, eu diria que corrigir isso é ainda mais importante do que corrigir algumas outras vulnerabilidades de execução remota de código. ”

A Apple lançou na segunda-feira uma atualização de segurança urgente para consertar uma vulnerabilidade do iOS “zero-click” ( CVE-2021-30860 ) relatada por pesquisadores do Citizen Lab que permite que comandos sejam executados quando os arquivos são abertos em certos dispositivos da Apple. O Citizen Lab descobriu que um exploit para CVE-2021-30860 estava sendo usado pelo NSO Group , uma empresa de tecnologia israelense cujo spyware permite a vigilância remota de smartphones.

O Google também lançou uma nova versão de seu navegador Chrome na segunda-feira para corrigir nove vulnerabilidades, incluindo duas que estão sob ataque ativo. Se você estiver executando o Chrome, fique atento para ver quando uma guia “Atualizar” aparecer à direita da barra de endereço. Se já faz algum tempo que você fechou o navegador, você verá o botão Atualizar mudar de verde para laranja e depois vermelho. Verde significa que uma atualização está disponível há dois dias; laranja significa que quatro dias se passaram e vermelho significa que seu navegador está uma semana ou mais atrasado em atualizações importantes. Feche completamente e reinicie o navegador para instalar quaisquer atualizações pendentes.

Como geralmente acontece na Patch Tuesday, a Adobe também lançou novas versões do Reader, Acrobat e um grande número de outros produtos . A Adobe afirma que não tem conhecimento de nenhuma exploração em andamento para nenhum dos problemas abordados em suas atualizações hoje.

Para um resumo completo de todos os patches lançados nesta terça e indexados por gravidade, verifique o resumo de Patch Tuesday do SANS Internet Storm Center . E não é uma má ideia adiar a atualização por alguns dias até que a Microsoft resolva qualquer problema nas atualizações: AskWoody.com geralmente tem informações sobre todos os patches que estão causando problemas para os usuários do Windows.

Por falar nisso, antes de atualizar, certifique-se de fazer o backup do sistema e/ou de arquivos importantes. Não é incomum que um pacote de atualização do Windows bloqueie o sistema ou evite que ele inicialize corretamente, e algumas atualizações podem apagar ou corromper arquivos.

Portanto, faça um favor a si mesmo e faça backup antes de instalar qualquer patch. O Windows 10 ainda tem algumas ferramentas integradas para ajudá-lo a fazer isso, seja por arquivo/pasta ou fazendo uma cópia completa e inicializável de seu disco rígido de uma só vez.

E se você deseja garantir que o Windows foi configurado para pausar a atualização para que você possa fazer backup de seus arquivos e / ou sistema antes que o sistema operacional decida reiniciar e instalar patches em sua própria programação, consulte este guia .

Se você tiver falhas ou problemas ao instalar qualquer um desses patches este mês, deixe um comentário sobre isso abaixo; há uma chance decente de outros leitores terem experimentado o mesmo e podem comentar aqui com dicas úteis.