.
Atualização de terça-feira É o dia do mês favorito de todos os administradores do Windows: Patch Tuesday. A Microsoft emitiu 59 patches para seu lote de atualização de setembro, incluindo dois para bugs que já foram explorados.
Outros cinco estão listados como críticos.
Comecemos pelos dois atualmente em exploração. Primeiro: CVE-2023-36761uma vulnerabilidade de divulgação de informações no Word considerada “importante” por Redmond com uma classificação de gravidade CVSS de 6,2 em 10.
O painel de visualização é o vetor de ataque para esse bug, que pode ser explorado para permitir a divulgação de hashes de senha NTLM, que poderiam potencialmente e, em última instância, ser usados para sequestrar contas de rede de pessoas. Essa é a extensão dos detalhes fornecidos pela Microsoft, e provavelmente ouviremos mais sobre quem está explorando esse CVE e para quais propósitos nefastos nos próximos dias. O código de exploração para este bug está disponível publicamente.
“Hashes NTLM expostos representam riscos significativos, pois são essencialmente chaves digitais para as credenciais de um usuário”, disse Tom Bowyer, gerente de segurança de produtos da Automox. avisou.
“Se um ator mal-intencionado obtiver acesso a esses hashes, ele poderá potencialmente se passar pelo usuário, obtendo acesso não autorizado a dados e sistemas confidenciais”, acrescentou Bowyer. “Eles também poderiam conduzir ataques pass-the-hash, onde o invasor usa a versão com hash de uma senha para se autenticar sem precisar descriptografá-la”.
Corrija este sem demora, uma vez feitas as verificações e testes habituais.
Também: CVE-2023-36802, uma vulnerabilidade de elevação de privilégio com classificação 7,8 no Microsoft Streaming Service Proxy. Este pode ser (e aparentemente foi) explorado para obter privilégios no nível do SISTEMA.
“Embora um invasor precisasse estar na máquina com privilégios de baixo nível, nenhuma interação do usuário seria necessária para que o invasor elevasse seus privilégios”, disse Nikolas Cemerkic, engenheiro de segurança cibernética da Immersive Labs. Strong The One.
Portanto, mesmo que seja classificado apenas como “importante” por Redmond, sugerimos priorizá-lo o mais rápido possível.
Sobre os cinco bugs críticos da Microsoft: quatro podem levar à execução remota de código (RCE) e um é uma vulnerabilidade de elevação de privilégio.
CVE-2023-38148 é o mais bem avaliado do grupo, ganhando um CVSS de 8,8 em 10. É um RCE de compartilhamento de conexão com a Internet (ICS) e a Microsoft considera “a exploração mais provável”.
A boa notícia, porém, é que a exploração exige que o ICS esteja ativado (o ICS não está ativado por padrão) e está limitado a sistemas conectados ao mesmo segmento de rede que o invasor.
“No entanto, se você estiver em um desses locais onde o ICS é usado, isso poderá permitir que um invasor não autenticado execute seu código nos sistemas afetados”, cuidados Dustin Childs, da Iniciativa Zero Day.
Dos outros bugs com classificação crítica, CVE-2023-29332, uma vulnerabilidade de elevação de privilégio do Microsoft Azure Kubernetes Service com classificação 7,5, é interessante porque, embora seja rotulada como “exploração menos provável”, é de complexidade bastante baixa e pode ser explorada remotamente pela Internet. Como admite Redmond, “um invasor não requer conhecimento prévio significativo do cluster/sistema e pode obter sucesso repetível ao tentar explorar esta vulnerabilidade”.
E depois de explorar esse bug, o invasor pode obter privilégios de administrador de cluster.
“A vulnerabilidade do Azure Kubernetes Service é um alerta para a comunidade nativa da nuvem e reafirma a necessidade de proteger nossos ambientes Kubernetes”, observou Jason Kikta, CISO da Automox. “O fato de um invasor poder potencialmente obter privilégios de administrador de cluster com baixa complexidade é uma preocupação de segurança impressionante”.
As outras três vulnerabilidades com classificação crítica, CVE-2023-36792, CVE-2023-36793e CVE-2023-36796são todos RCEs com classificação 7,8 que afetam o Visual Studio.
Adobe corrige bug crítico sob exploração
A Adobe lançou hoje atualizações de software para corrigir cinco falhas de segurança, incluindo um bug crítico em Acrobata e Leitor que já foi encontrado e explorado por malfeitores.
É rastreado como CVE-2023-26369 e, se abusado, pode levar à execução arbitrária de código, de acordo com o fabricante do Photoshop. “A Adobe está ciente de que CVE-2023-26369 foi explorado em liberdade em ataques limitados direcionados ao Adobe Acrobat e Reader”, de acordo com o comunicado de segurança de hoje.
As outras quatro vulnerabilidades abordadas nas atualizações de hoje são todas consideradas “importantes”, pois também podem permitir a execução arbitrária de código. No entanto, não parecem ter sido explorados, pelo menos ainda não.
Boletim de segurança da Adobe para Conectar endereços CVE-2023-29305 e CVE-2023-29306. Enquanto isso, as atualizações para Gerente de Experiência corrija CVE-2023-38214 e CVE-2023-38215.
Android zero-day corrigido
O Google lançou no início deste mês seu Atualizações de segurança do Android que abordam 32 vulnerabilidades, incluindo uma que já foi explorada.
É rastreado como CVE-2023-35674 e é uma falha de elevação de privilégio de alta gravidade na estrutura do Android.
“Há indicações de que CVE-2023-35674 pode estar sob exploração limitada e direcionada”, alertou o Google. Não há privilégios de execução adicionais ou interação do usuário necessários para exploração. Em outras palavras: parece snoopware.
E… SAP
SAP também hoje lançado 13 Notas de segurança e cinco atualizações.
Isso inclui um com pontuação CVSS de 10 em 10: Nota 2622660, uma atualização contínua que inclui os patches mais recentes do Chromium suportados.
Três outros receberam uma classificação CVSS de 9,9. Duas delas são atualizações: 3245526, que foi lançada inicialmente em março e corrige uma vulnerabilidade de injeção de código na plataforma SAP BusinessObjects Business Intelligence. E 3273480, emitido originalmente em dezembro de 2022, para solucionar um bug de controle de acesso impróprio no SAP NetWeaver AS Java.
Enquanto isso, a Nota 3320355 é nova e aborda um bug crítico de divulgação de informações no SAP BusinessObjects rastreado como CVE-2023-40622.
“Uma exploração bem-sucedida fornece informações que podem ser usadas em ataques subsequentes, levando ao comprometimento completo da aplicação”, disse o pesquisador de segurança SAP da Onapsis, Thomas Fritsch. Strong The One. “Como solução alternativa, a SAP recomenda conceder direitos apropriados apenas para o usuário necessário para acessar e realizar promoções usando o Promotion Management.” ®
.
