CISA pede correção de bug explorado do Windows 11 até 2 de agosto

Uma vulnerabilidade do Windows 11, parte do conjunto de correções Patch Tuesday da Microsoft, está sendo explorada em estado selvagem, levando a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) a aconselhar a correção da falha de elevação de privilégios até 2 de agosto.

A recomendação é direcionada a órgãos federais e preocupações CVE-2022-22047, uma vulnerabilidade que carrega uma pontuação CVSS alta (7.8) e expõe o Windows Client Server Runtime Subsystem (CSRSS) usado no Windows 11 (e versões anteriores até 7) e também no Windows Server 2022 (e versões anteriores 2008, 2012, 2016). e 2019) para atacar.

[Evento sob demanda GRATUITO: Junte-se ao Zane Bond da Keeper Security em uma mesa redonda Threatpost e aprenda como acessar suas máquinas com segurança de qualquer lugar e compartilhar documentos confidenciais de seu escritório em casa. ASSISTA AQUI.]

O bug do CSRSS é uma vulnerabilidade de elevação de privilégios que permite que adversários com um ponto de apoio pré-estabelecido em um sistema de destino executem código como um usuário sem privilégios. Quando o bug foi relatado pela primeira vez pela própria equipe de segurança da Microsoft no início deste mês, foi classificado como um dia zero, ou um bug conhecido sem patch. Esse patch foi disponibilizado em Terça-feira julho 5.

Pesquisadores do FortiGuard Labs, uma divisão da Fortinet, disseram que a ameaça que o bug representa para os negócios é “média”. Em boletim, pesquisadores explicam a classificação rebaixada porque um adversário precisa de acesso “local” ou físico avançado ao sistema alvo para explorar o bug e um patch está disponível.

Dito isso, um invasor que tenha obtido anteriormente acesso remoto a um sistema de computador (por meio de infecção por malware) pode explorar a vulnerabilidade remotamente.

“Embora não haja mais informações sobre exploração divulgadas pela Microsoft, pode-se supor que uma execução remota de código desconhecida permitiu que um invasor realizasse movimentos laterais e aumentasse privilégios em máquinas vulneráveis ​​a CVE-2022-22047, permitindo privilégios de SISTEMA, ”, escreveu o FortiGuard Labs.

Pontos de entrada de documentos do Office e Adobe

Enquanto a vulnerabilidade está sendo explorada ativamente, não há nenhuma prova pública conhecida de explorações de conceito que possam ser usadas para ajudar a mitigar ou às vezes alimentar ataques, de acordo com um reportagem do Record.

“A vulnerabilidade permite que um invasor execute código como SYSTEM, desde que possa executar outro código no alvo”, escreveu o Trend Micro's Zero Day Initiative (ZDI) em seu Patch Tuesday rodada na semana passada.

“Bugs desse tipo geralmente são combinados com um bug de execução de código, geralmente um documento do Office ou Adobe especialmente criado, para assumir o controle de um sistema. Esses ataques geralmente dependem de macros, e é por isso que muitos ficaram desanimados ao ouvir o atraso da Microsoft em bloquear todas as macros do Office por padrão”, escreveu o autor do ZDI, Dustin Childs.

A Microsoft disse recentemente que bloquearia o uso de macros do Visual Basic for Applications (VBA) por padrão em alguns de seus aplicativos do Office, mas não definiu nenhuma linha do tempo para aplicar a política.

CISA adicionou o bug da Microsoft à sua lista de execução de vulnerabilidades exploradas conhecidas em 7 de julho (pesquise “CVE-2022-22047” para encontrar a entrada) e recomenda simplesmente “aplicar atualizações por instruções do fornecedor”.

[Evento sob demanda GRATUITO: Junte-se ao Zane Bond da Keeper Security em uma mesa redonda Threatpost e aprenda como acessar suas máquinas com segurança de qualquer lugar e compartilhar documentos confidenciais de seu escritório em casa. ASSISTA AQUI.]

Imagem: Cortesia da Microsoft