.
Atualização de terça-feira O Patch Tuesday de maio traz boas e más notícias, e se você é do tipo que gosta de copo meio cheio, começaria com o número relativamente baixo de correções de segurança da Microsoft: apenas 38.
Seu humilde abutre, no entanto, é um tipo de pássaro do tipo copo meio vazio e quem diabos bebeu meu uísque, então, em vez de olhar pelo lado positivo, estamos olhando para os dois bugs da Microsoft que já foram encontrados e explorados por meliantes. Além de uma terceira vulnerabilidade, que foi divulgada publicamente. Sugerimos corrigir essas três estatísticas.
Seis das 38 vulnerabilidades são consideradas “críticas” porque permitem a execução remota de código.
Os dois que estão sob exploração ativa, pelo menos de acordo com a Microsoft, são CVE-2023-29336, uma vulnerabilidade de elevação de privilégio do Win32k; e CVE-2023-24932, uma vulnerabilidade de desvio do recurso de segurança Secure Boot, que foi explorada por o bootkit BlackLotus para infectar máquinas Windows. Curiosamente, o BlackLotus abusou do CVE-2023-24932 para derrotar um patch que a Microsoft lançou no ano passado que fechou outra vulnerabilidade de bypass no Secure Boot. Assim, Redmond corrigiu uma falha no Secure Boot, e esse malware abusou de um segundo bug, CVE-2023-24932, para contornar isso.
CVE-2023-29336 é uma falha avaliada em 7,8 de 10 no driver do modo kernel Win32k que pode ser explorada para obter privilégios de sistema em PCs com Windows.
“Esse tipo de escalação de privilégio geralmente é combinado com um bug de execução de código para espalhar malware”, disse Dustin Childs, da Zero Dan Initiative. disse. “Considerando que isso foi relatado por uma empresa AV, esse parece ser o cenário provável aqui.”
Redmond deu crédito aos caçadores de bugs do webhost, Jan Vojtešek, Milánek e Luigino Camastra, por encontrar e divulgar o bug.
Hora de inicializar uma ameaça
Enquanto isso, CVE-2023-24932 recebeu seu próprio Microsoft Security Response Center (MSRC) separado consultivo e orientação de configuração, que Redmond diz ser necessária para “proteger totalmente contra essa vulnerabilidade”.
“Esta vulnerabilidade permite que um invasor execute código autoassinado no nível Unified Extensible Firmware Interface (UEFI) enquanto o Secure Boot está ativado”, alertou o MSRC. “Isso é usado por agentes de ameaças principalmente como um mecanismo de persistência e evasão de defesa”.
Observe também, no entanto, que para explorar essa falha com sucesso, um invasor deve ter acesso físico ou privilégios de administrador local no dispositivo de destino.
Redmond diz que Martin Smolár, da ESET, e Tomer Sne-or, da SentinelOne, divulgaram o bug, e Smolár inicialmente soou o alarme no malware BlackLotus ignorando o Secure Boot em março. Antes disso, o principal pesquisador de segurança da Kaspersky, Sergey Lozhkin vi BlackLotus pela primeira vez sendo vendido em mercados de crimes cibernéticos em outubro de 2022.
Isso é significativo porque o BlackLotus, um bootkit UEFI vendido em fóruns de hackers por cerca de US$ 5.000, é uma variedade rara de malware, pois é executado em sistemas Windows, mesmo com o recurso de segurança de firmware Secure Boot ativado. Essa funcionalidade deve, em vez disso, bloquear o BlackLotus.
O Secure Boot deve impedir que os dispositivos executem software não autorizado ou malicioso antes que o sistema operacional, como o Windows, seja executado. Ao direcionar os pontos fracos neste processo de inicialização, o BlackLotus carrega antes de qualquer outra coisa, incluindo o sistema operacional e quaisquer ferramentas de segurança que possam pará-lo. O malware pode desativar as defesas antivírus e instalar um driver de kernel que recebe comandos de um servidor de controle para executar, colocando efetivamente um backdoor de controle remoto na máquina.
Embora a Microsoft tenha lançado uma espécie de correção para o gerenciador de inicialização do Windows no patchapalooza de hoje para impedir o bootkit, a atualização CVE-2023-24932 está desativada por padrão e exige que os clientes atualizem manualmente mídia inicializável para implementar totalmente as proteções. Como o analista de segurança Will Dorman gracejou: “Sinta-se à vontade para chorar um pouco e/ou considerar uma mudança de carreira.”
Em julho, a Microsoft lançará uma segunda versão para simplificar a implantação do patch. E no primeiro trimestre de 2024, teremos uma correção final para o bug por padrão em todos os dispositivos Windows.
Finalmente, o bug divulgado publicamente que (ainda) não foi explorado (até onde sabemos) é CVE-2023-29325uma vulnerabilidade de Execução Remota de Código OLE (RCE) do Windows que recebeu uma classificação CVSS 8.1.
Redmond diz que um invasor pode explorar essa falha enviando um e-mail especialmente criado para o alvo, que o abre com uma versão vulnerável do Outlook ou permite que seja exibido em um painel de visualização.
Isso ocorre porque, como observa Childs, “o painel de visualização é um vetor de ataque”. Além disso, embora o Outlook pareça o vetor de exploração mais provável, ele pode afetar outros aplicativos do Office, portanto, priorize a correção deste.
Boletim de segurança único da Adobe
A Adobe, da mesma forma, abordou um número menor do que o normal de vulnerabilidades em maio. lançou apenas um boletim de segurança para o Adobe Substance 3D Painter abordar 14 CVEs, 11 dos quais são classificados como críticos e o restante como importante.
“A exploração bem-sucedida pode levar à execução arbitrária de código e vazamento de memória no contexto do usuário atual”, disse a Adobe.
Nenhum dos bugs está listado como sob ataque ou conhecido publicamente.
Correções do SAP Hot News
SEIVA lançado 25 patches de segurança novos e atualizados, incluindo duas notícias quentes e nove notas de alta prioridade.
Uma das notas do Hot News, nº 3328495, recebeu uma pontuação CVSS de 9,8 e corrige cinco vulnerabilidades na versão 14.2 do componente Reprise License Manager (RLM) usado com o SAP 3D Visual Enterprise License Manager.
Patches de maio do Android
mais recente do Android boletim de segurança resolveu 18 falhas.
“O mais grave desses problemas é uma alta vulnerabilidade de segurança no componente Framework que pode levar à escalação local de privilégios sem a necessidade de privilégios de execução adicionais”, alertou o Google.
A boa notícia, no entanto: explorar essa vulnerabilidade, rastreada como CVE-2023-21110, requer interação do usuário. Então talvez tenhamos que reconsiderar nosso ponto de vista do copo meio vazio. ®
.
