.
Patch terça-feira A Microsoft divulgou 90 falhas em seus produtos – seis das quais já foram exploradas – e outras quatro que estão listadas como publicamente conhecidas.
Há mais uma dúzia na lista de fornecedores terceirizados que agora estão incluídos na atualização mensal da Microsoft. Feliz Patch Tuesday de agosto, pessoal.
Dos 102 bugs listados neste mês, nove foram classificados como críticos, mas até agora nenhum deles parece ter sido encontrado e explorado pelos bandidos.
Então vamos começar com os seis bugs que estão sendo explorados ativamente:
CVE-2024-38189 – uma vulnerabilidade de execução remota de código do Microsoft Project com uma classificação CVSS de 8,8. A má notícia é que é um RCE e foi explorado antes de emitir uma correção.
A boa notícia é que a exploração requer que alguns recursos de segurança sejam desabilitados antes que um invasor possa executar remotamente o código na máquina da vítima. Supondo que um criminoso possa encontrar um sistema que execute macros baixadas da internet, e também desabilitou a política de bloqueio de macros de execução em arquivos do Office a partir da Internet, e convence uma vítima a abrir um arquivo malicioso, é game over. Obviamente, alguém conseguiu navegar por esses obstáculos, embora não tenhamos detalhes sobre a exploração, ou quão disseminada ela é.
CVE-2024-38178 – uma vulnerabilidade de corrupção de memória do mecanismo de script que recebeu um CVSS de 7,5. A Microsoft diz que a complexidade do ataque é alta neste, e requer que a vítima use o Edge no modo Internet Explorer. Aparentemente, algumas organizações e seus sites ainda gostam muito deste navegador morto que a Microsoft parou de oferecer suporte há dois anos.
Quando o Edge está no modo Internet Explorer, se um invasor conseguir convencer a vítima a clicar em uma URL especialmente criada, ele poderá executar código remoto no dispositivo da vítima.
Redmond credita ao Centro Nacional de Segurança Cibernética da Coreia do Sul e ao AhnLab por descobrirem e relatarem essa vulnerabilidade.
CVE-2024-38193 – um driver de função auxiliar do Windows com classificação 7.8 para vulnerabilidade de elevação de privilégio do WinSock. Este poderia permitir que um invasor ganhasse privilégios de sistema.
Como Dustin Childs, da Zero Day Initiative, observou: “Esses tipos de bugs geralmente são associados a um bug de execução de código para assumir o controle de um alvo. A Microsoft não fornece nenhuma indicação de quão amplamente isso está sendo explorado, mas, considerando a fonte, se ainda não estiver em um ransomware, provavelmente estará em breve.”
Os caçadores de bugs da Gen Digital, Luigino Camastra e Milánek, revelaram a falha para Redmond.
CVE-2024-38106 – uma vulnerabilidade de elevação de privilégio do kernel do Windows com uma classificação CVSS de 7,0.
Explorar esse bug requer que um invasor vença uma condição de corrida, mas Redmond não fornece detalhes sobre o que essa corrida envolve. Mas uma vez que isso aconteça, o criminoso pode ganhar privilégios de sistema. Ele foi explorado, então faça o patch em breve.
CVE-2024-38107 – uma vulnerabilidade de elevação de privilégio do Windows Power Dependency Coordinator com classificação 7.8. Ela também pode resultar em privilégios de sistema e foi explorada na natureza.
CVE-2024-38213 – uma vulnerabilidade de desvio de recurso de segurança da Web do Windows que recebeu uma classificação CVSS de 6,5.
O pesquisador do ZDI Peter Girnus encontrou e relatou essa vulnerabilidade, que permite que um invasor ignore o recurso de segurança do SmartScreen. No entanto, ele requer a marca para abrir um arquivo malicioso.
A Microsoft listou quatro vulnerabilidades como divulgadas publicamente, embora ainda não exploradas, então talvez você deva colocá-las no topo da sua lista de correções:
- CVE-2024-38200 – uma vulnerabilidade de falsificação do Microsoft Office com classificação CVSS de 6,5.
- CVE-2024-38199 – uma vulnerabilidade RCE do serviço Windows Line Printer Daemon (LPD) com uma classificação CVSS de 9,8.
- CVE-2024-21302 – uma vulnerabilidade de elevação de privilégio do Windows Secure Kernel Mode com uma classificação CVSS de 6,7.
- CVE-2024-38202 – uma vulnerabilidade de elevação de privilégio de pilha do Windows Update com uma classificação CVSS de 7,3.
Adobe aborda 71 CVEs
A Adobe corrigiu este mês 71 CVEs em 11 atualizações em seus produtos Illustrator, Dimension, Photoshop, InDesign, Acrobat e Reader, Bridge, Substance 3D Stager, Commerce, InCopy, 3D Sampler e Substance 3D Designer. A Adobe declara que não tem conhecimento de nenhuma exploração para nenhuma das falhas agora corrigidas.
O Commerce é o mais bugado do grupo, com sete vulnerabilidades classificadas como críticas. O InDesign corrigiu 13 CVEs e o Acrobat e o Reader corrigiram 12 – ambos incluindo RCEs.
SAP lança 25 patches de segurança
A SAP lançou este mês 25 patches de segurança novos ou atualizados, incluindo duas notas HotNews e quatro notas de alta prioridade. Thomas Fritsch, SAP Security Researcher na Onapsis, diz que essa contagem está acima da média para o fabricante de software.
Das novas notas do HotNews, #3479478 (CVE-2024-41730) recebeu uma classificação CVSS de 9,8 e aborda uma vulnerabilidade de negação de serviço na plataforma SAP BusinessObjects Business Intelligence.
“Se a autenticação Single Sign On Enterprise estiver habilitada, um usuário não autorizado pode obter um token de logon usando um endpoint REST”, Fritsch alertou. “O invasor pode comprometer totalmente o sistema, resultando em alto impacto na confidencialidade, integridade e disponibilidade.”
Mais 43 pontos problemáticos para a Intel
A Intel entrou na festa de patches este mês com incríveis 43 alertas de segurança que tapam várias brechas em software e hardware. Nove são classificadas como falhas de alta gravidade, então vamos começar por aí:
Os controladores e adaptadores Intel Ethernet corrigem CVEs que podem permitir escalonamento de privilégios ou negação de serviço.
Bugs em alguns firmwares do BIOS Intel NUC podem permitir escalonamento de privilégios, negação de serviço e divulgação de informações.
Vulnerabilidades nos mecanismos de cache de fluxo do processador Intel Core Ultra e do processador Intel podem permitir escalonamento de privilégios.
Falhas no software do módulo Intel Trust Domain Extensions (Intel TDX) podem permitir negação de serviço.
Uma vulnerabilidade de segurança no monitor de transferência SMI (STM) pode permitir escalonamento de privilégios.
Falhas em alguns firmwares Intel Agilex FPGA e alguns firmwares da família Intel Server Board S2600ST podem permitir escalonamento de privilégios.
Por fim, algumas ferramentas Intel UEFI Integrator no Aptio V para Intel NUC são vulneráveis a um bug de escalonamento de privilégios. ®
.
