Microsoft divulga 5 dias zero em volumosa atualização de segurança de julho

Microsoft divulga 5 dias zero em volumosa atualização de segurança de julho

Carimbo de data / hora: 11 de julho de 2023, 6h16
Microsoft divulga 5 dias zero na volumosa atualização de segurança de julho PlatoBlockchain Data Intelligence. Pesquisa vertical. Ai.

Microsoft Atualização de segurança de julho contém correções para 130 vulnerabilidades exclusivas, cinco das quais os invasores já estão explorando ativamente na natureza.

A empresa classificou nove das falhas como de gravidade crítica e 121 delas como de gravidade moderada ou importante. As vulnerabilidades afetam uma ampla variedade de produtos da Microsoft, incluindo Windows, Office, .Net, Azure Active Directory, drivers de impressora, servidor DMS e área de trabalho remota. A atualização continha a combinação usual de falhas de execução remota de código (RCE), desvio de segurança e problemas de escalonamento de privilégios, bugs de divulgação de informações e vulnerabilidades de negação de serviço.

“Este volume de correções é o maior que vimos nos últimos anos, embora'Não é incomum ver a Microsoft enviar um grande número de patches logo antes da conferência Black Hat USA”, disse Dustin Childs, pesquisador de segurança da Zero Day Initiative (ZDI) da Trend Micro, em um blog.

Do ponto de vista da priorização de patches, os cinco dias zero que a Microsoft divulgou esta semana merecem atenção imediata, de acordo com pesquisadores de segurança.

O mais grave deles é CVE-2023-36884, um bug de execução remota de código (RCE) no Office e Windows HTML, para o qual a Microsoft não tinha um patch na atualização deste mês. A empresa identificou um grupo de ameaças que está rastreando, Storm-0978, como explorando a falha em uma campanha de phishing direcionada a organizações governamentais e de defesa na América do Norte e na Europa.

A campanha envolve o agente da ameaça distribuindo um backdoor, apelidado de RomCom, por meio de documentos do Windows com temas relacionados ao Congresso Mundial Ucraniano. “Tempestade-0978'As operações direcionadas do governo impactaram organizações militares e governamentais principalmente na Ucrânia, bem como organizações na Europa e na América do Norte potencialmente envolvidas em assuntos ucranianos”, Microsoft disse em um blog post que acompanhava a atualização de segurança de julho. “Os ataques de ransomware identificados impactaram os setores de telecomunicações e financeiro, entre outros.”

Dustin Childs, outro pesquisador da ZDI, alertou as organizações a tratarem o CVE-2023-36884 como um problema de segurança “crítico”, embora a própria Microsoft o tenha avaliado como um bug relativamente menos grave e “importante”. “A Microsoft tomou a atitude estranha de lançar este CVE sem um remendo. Que'Ainda está por vir ”, escreveu Childs em um post de blog. “Claramente, há'há muito mais para esta façanha do que está sendo dito.

Duas das cinco vulnerabilidades que estão sendo exploradas ativamente são falhas de desvio de segurança. Um afeta o Microsoft Outlook (CVE-2023-35311) e o outro envolve o Windows SmartScreen (CVE-2023-32049). Ambas as vulnerabilidades exigem interação do usuário, o que significa que um invasor só seria capaz de explorá-las convencendo um usuário a clicar em uma URL maliciosa. Com o CVE-2023-32049, um invasor seria capaz de ignorar o prompt Open File – Security Warning, enquanto o CVE-2023-35311 oferece aos invasores uma maneira de ocultar seu ataque pelo aviso de aviso de segurança do Microsoft Outlook.

“É importante observar que [CVE-2023-35311] permite especificamente ignorar os recursos de segurança do Microsoft Outlook e não permite a execução remota de código ou escalonamento de privilégios”, disse Mike Walters, vice-presidente de vulnerabilidade e pesquisa de ameaças da Action1. “Portanto, é provável que os invasores o combinem com outras explorações para um ataque abrangente. A vulnerabilidade afeta todas as versões do Microsoft Outlook a partir de 2013”, observou ele em um e-mail para Dark Reading.

Kev Breen, diretor de pesquisa de ameaças cibernéticas da Immersive Labs, avaliou o outro desvio de segurança de dia zero - CVE-2023-32049 — como outro bug que os agentes de ameaças provavelmente usarão como parte de uma cadeia de ataque mais ampla.

Os outros dois dias-zero no último conjunto de patches da Microsoft permitem o escalonamento de privilégios. Pesquisadores do Grupo de Análise de Ameaças do Google descobriram um deles. A falha, rastreada como CVE-2023-36874, é um problema de elevação de privilégio no serviço Windows Error Reporting (WER) que oferece aos invasores uma maneira de obter direitos administrativos em sistemas vulneráveis. Um invasor precisaria de acesso local a um sistema afetado para explorar a falha, que poderia obter por meio de outras explorações ou por uso indevido de credenciais.

“O serviço WER é um recurso dos sistemas operacionais Microsoft Windows que automaticamente coleta e envia relatórios de erros para a Microsoft quando determinado software trava ou encontra outros tipos de erros”, disse Tom Bowyer, pesquisador de segurança da Automox. “Essa vulnerabilidade de dia zero está sendo explorada ativamente, portanto, se o WER for usado por sua organização, recomendamos a correção em 24 horas”, disse ele.

O outro bug de elevação de privilégio na atualização de segurança de julho que os invasores já estão explorando ativamente é CVE-2023-32046 na plataforma Windows MSHTM da Microsoft, também conhecida como mecanismo de renderização do navegador “Trident”. Tal como acontece com muitos outros bugs, este também requer algum nível de interação do usuário. Em um cenário de ataque por e-mail para explorar o bug, um invasor precisaria enviar a um usuário-alvo um arquivo especialmente criado e fazer com que o usuário o abrisse. Em um ataque baseado na Web, um invasor precisaria hospedar um site malicioso - ou usar um comprometido - para hospedar um arquivo especialmente criado e convencer a vítima a abri-lo, disse a Microsoft.

RCEs no roteamento do Windows, serviço de acesso remoto

Pesquisadores de segurança apontaram três vulnerabilidades RCE no Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366 e CVE-2023-35367) como merecendo atenção prioritária como todos. A Microsoft avaliou todas as três vulnerabilidades como críticas e todas as três têm uma pontuação CVSS de 9.8. O serviço não está disponível por padrão no Windows Server e basicamente permite que os computadores que executam o sistema operacional funcionem como roteadores, servidores VPN e servidores dial-up, disse Bowyer da Automox. “Um invasor bem-sucedido pode modificar as configurações de rede, roubar dados, mover para outros sistemas mais críticos/importantes ou criar contas adicionais para acesso persistente ao dispositivo."

Falhas do SharePoint Server

A gigantesca atualização de julho da Microsoft continha correções para quatro vulnerabilidades RCE no servidor SharePoint, que se tornou um alvo popular de invasores recentemente. A Microsoft classificou dois dos bugs como “importantes” (CVE-2023-33134 e CVE-2023-33159) e os outros dois como “críticos” (CVE-2023-33157 e CVE-2023-33160). “Todos eles exigem que o invasor seja autenticado ou que o usuário execute uma ação que, felizmente, reduz o risco de violação”, disse Yoav Iellin, pesquisador sênior da Silverfort. “Mesmo assim, como o SharePoint pode conter dados confidenciais e geralmente é exposto de fora da organização, aqueles que usam as versões local ou híbrida devem atualizar.”

As organizações que precisam cumprir regulamentos como FEDRAMP, PCI, HIPAA, SOC2 e regulamentos semelhantes devem prestar atenção a CVE-2023-35332: uma falha do Windows Remote Desktop Protocol Security Bypass, disse Dor Dali, chefe de pesquisa da Cyolo. A vulnerabilidade tem a ver com o uso de protocolos desatualizados e obsoletos, incluindo o Datagram Transport Layer Security (DTLS) versão 1.0, que apresenta um risco substancial de segurança e conformidade para as organizações, disse ele. Em situações em que uma organização não pode atualizar imediatamente, eles devem desabilitar o suporte UDP no gateway RDP, disse ele.

Além disso, a Microsoft publicou um comunicado em sua investigação de relatórios recentes sobre agentes de ameaças usando drivers certificados pela Microsoft's Windows Hardware Developer Program (MWHDP) em atividade pós-exploração.

Carimbo de hora:

Mais de Leitura escura