.
Patch terça-feira O Patch Tuesday de novembro também cai no dia da eleição nos EUA, então vamos esperar que a democracia se saia melhor do que a Microsoft, que relatou que seis dos bugs de hoje já estão sendo explorados à solta por malfeitores.
Outras 22 vulnerabilidades nos produtos da gigante do Windows foram rotuladas como “mais propensas a serem exploradas” do que não. Além disso, surpreendentemente, a Adobe pulou a festa mensal do patch. “Aviso que a Adobe não tem atualizações programadas regularmente planejadas para hoje”, disse um porta-voz Strong The One.
De volta à Microsoft: Redmond classificou 11 vulnerabilidades em seu código como falhas críticas listadas no CVE, com o restante considerado importante. Também parece ter finalmente consertado (dedos cruzados) os dois bugs do Exchange Server apelidados de ProxyNotShell que foram explorados desde agosto.
Vamos começar com os dois muito esperado Troca de correções. CVE-2022-41028 é uma vulnerabilidade de execução remota de código (RCE) e CVE-2022-41040 é um bug de falsificação de solicitação do lado do servidor. Ambos podem ser explorados juntos para executar comandos do PowerShell em um sistema vulnerável e assumir o controle dele.
Desde o final de setembro, Redmond emitiu várias atualizações de mitigação, embora todas essas correções temporárias tenham sido ignoradas por pesquisadores de segurança. Vamos torcer para que os plugues de novembro façam o truque.
CVE-2022-41128outro bug RCE no mecanismo de linguagem de script JScript9, também foi explorado por malfeitores, de acordo com a Microsoft, então sugerimos corrigir este próximo.
Para explorá-lo, um invasor precisaria enganar um usuário executando uma versão não corrigida do Windows para visitar um compartilhamento de servidor ou site especialmente criado, provavelmente usando um link de phishing ou download. Nesse ponto, o invasor pode executar código arbitrário no sistema afetado com o nível de privilégios do usuário.
“A Microsoft não fornece informações sobre o quão difundido isso pode ser, mas considerando que é um tipo de cenário do tipo navegar e possuir, espero que este seja um bug popular para incluir em kits de exploração”, disse Dustin Childs, da Zero Day Initiative. notado.
Outro bug corrigido listado em exploit ativo, CVE-2022-41091, é uma vulnerabilidade de desvio do Windows Mark of the Web (MotW). Esta correção parece resolver pelo menos uma das falhas do MotW que anteriormente destacadoque foram abusados na natureza.
MotW deve identificar um arquivo como proveniente da Internet, portanto, quando um usuário o abre, são acionadas defesas de segurança extras, como um aviso ao usuário.
Mas há maneiras de contornar isso, permitindo que coisas maliciosas que deveriam ser capturadas pelas defesas da Microsoft continuem como se tudo estivesse acima dos limites. De fato, a exploração do CVE-2022-41091 envolve enganar a vítima para abrir “um arquivo malicioso que escaparia das defesas Mark of the Web, resultando em uma perda limitada de integridade e disponibilidade de recursos de segurança, como o Protected View no Microsoft Office, que depende de Marcação MotW”, explicou Redmond.
Guru da vulnerabilidade Will Dormann vem twittando sobre esse tipo de falha desde julho, e hoje entrou em Mais detalhes sobre essa vulnerabilidade específica e como ela pode ser abusada. Ted teamer Kuba Gretzky também publicou um análise aprofundada do erro; é uma boa idéia corrigir o mais rápido possível.
Finalmente, CVE-2022-41073um erro de elevação de privilégio do spooler de impressão do Windows e CVE-2022-41125uma vulnerabilidade de privilégio de elevação de privilégio de serviço de isolamento de chave Windows CNG, completa a última das falhas da Microsoft que estão sendo exploradas em estado selvagem.
Se o bug do spooler de impressão parece familiar, deve – lembre-se Imprimir Pesadelo?
“O spooler de impressão tem sido um alvo popular para vulnerabilidades nos últimos 12 meses, com isso marcando o nono patch”, disse Kev Bream, diretor de pesquisa de ameaças cibernéticas da Immersive Labs. Strong The One. A exploração bem-sucedida do CVE-2022-41125 pode conceder privilégios de SISTEMA a um invasor.
“Esses tipos de vulnerabilidades de escalonamento de privilégios são quase sempre vistos como uma continuação de um comprometimento inicial em que os agentes de ameaças procurarão obter acesso no nível do SISTEMA ou do domínio”, acrescentou Bream. “Esse nível mais alto de acesso é necessário para desativar ou adulterar ferramentas de monitoramento de segurança antes de executar ataques de credenciais com ferramentas como mimikatz, que podem permitir que invasores se movam lateralmente em uma rede”.
SEIVA
SEIVA lançado nove novos patches e duas atualizações para correções anteriores, incluindo três notas de notícias quentes (também conhecidas como prioridade crítica).
O pior do grupo é uma vulnerabilidade crítica de classificação 9.9 no SAP BusinessObjects rastreada como CVE-2022-41203, que pode levar ao comprometimento total dos sistemas afetados, por isso sugerimos dar a essa prioridade máxima.
“A única razão pela qual essa vulnerabilidade não é marcada com a pontuação máxima de 10 no CVSS é porque ela exige que o invasor tenha um conjunto mínimo de privilégios para explorá-la”, disse o pesquisador de segurança da Onapsis, Thomas Fritsch. escreveu.
Uma segunda nota do Hot News corrige duas vulnerabilidades, CVE-2021-20223 e CVE-2022-35737, sendo o primeiro o mais crítico com pontuação CVSS de 9,8.
“Esta vulnerabilidade permitiu que um invasor remoto com privilégios mínimos explorasse o fato de o SQLite tratar caracteres NULL como tokens”, explicou Fritsch. “Isso teve o potencial de um impacto considerável na confidencialidade, integridade e disponibilidade de todos os aplicativos usando SAPUI5.”
A nota final do Hot News corrige o CVE-2022-41204, uma vulnerabilidade de sequestro de conta no SAP Commerce que recebeu uma pontuação de 9,6 CVSS. Ele foi lançado originalmente no mês passado, portanto, se você o corrigiu, não precisará executar nenhuma ação relacionada à nota atualizada.
Intel e AMD
A Intel, que não lança nenhuma atualização de segurança desde agosto, juntou-se ao patchapalooza de novembro com 24 avisos de segurança abordando 57 CVEs.
Os bugs mais sérios do grupo existem em alguns Firmware do BIOS Intel NUC, e pode permitir a escalada de privilégio ou negação de serviço. Há 13 no total, e 12 deles são classificados como de alta gravidade, com pontuações CVSS entre 8,2 e 7,0 de 10 em gravidade. Lucky No. 13 é considerado médio, com uma pontuação de 5,2 CVSS.
A AMD, por sua vez, publicado uma correção relacionada ao Spectre (meio de gravidade), fechado buracos em seus drivers gráficos (gravidade alta e média), esmagado bugs de travamento em suas ferramentas de criação de perfil e remendado seu aplicativo Android para streaming de vídeo para dispositivos.
GoogleAndroid
Google esta semana anunciado ele corrigiu várias vulnerabilidades em seu sistema operacional Android, nenhuma das quais foi explorada em estado selvagem – pelo menos não que ela saiba.
A mais grave dessas falhas estava no componente Framework e poderia levar à escalação local de privilégios sem a necessidade de privilégios de execução adicionais.
“Dependendo dos privilégios associados ao componente explorado, um invasor pode instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos totais”, de acordo com o Center for Internet Security consultivo.
Citrix
Citrix divulgado três bugs no Citrix Gateway e no Citrix ADC. Um deles, rastreado como CVE-2022-27510, é uma falha crítica de desvio de autenticação.
“Observe que apenas os dispositivos que estão operando como um Gateway (dispositivos que usam a funcionalidade SSL VPN ou implantados como um proxy ICA com autenticação habilitada) são afetados pelo [CVE-2022-27510] problema, que é classificado como uma vulnerabilidade de gravidade crítica”, de acordo com o comunicado.
Entende-se que essa falha crítica pode ser explorada por um usuário não autenticado para executar aplicativos publicados como um usuário autenticado e conectado.
Maçã
E finalmente a maçã lançou o Xcode 14.1 com várias atualizações de segurança para macOS Monterey 12.5 e posterior. ®
.
