.
Patch terça-feira A Microsoft corrigiu mais de 80 falhas de segurança em seus produtos para o Patch Tuesday de outubro. Mas vamos começar com o que Redmond não corrigiu: dois bugs do Exchange Server apelidados de ProxyNotShell que foram explorados por bisbilhoteiros já em agosto.
CVE-2022-41040 é uma vulnerabilidade de falsificação de solicitação do lado do servidor enquanto CVE-2022-41082 é um bug de execução remota de código (RCE). Ambos podem ser explorados juntos para executar comandos do PowerShell em um sistema vulnerável e assumir o controle dele.
A empresa vietnamita de segurança cibernética GTSC descobriu as duas vulnerabilidades e relatou que elas eram explorado no início de agosto de 2022. Um mês depois, a Zero Day Initiative (ZDI) comprou os bugs e os divulgou à Microsoft.
Desde o final de setembro, Redmond emitiu atualizações de mitigação quase diáriasembora todas essas correções temporárias tenham sido ignoradas por pesquisadores de segurança.
“Sem atualizações disponíveis para resolver totalmente esses bugs, o melhor que os administradores podem fazer é garantir que a atualização cumulativa de setembro de 2021 (CU) esteja instalada”, ZDI aconselhado.
Dos CVEs que a Microsoft corrigiu hoje, 13 são classificados como “críticos” e permitem elevação de privilégios, falsificação ou RCE. O resto é considerado “importante”, o que não é exatamente tão reconfortante quanto parece.
Outro bug sob exploração, outro que é divulgado publicamente
Um desses bugs “importantes” está sob exploração ativa e outro foi divulgado publicamente, então vamos começar com esses dois.
CVE-2022-41033 é uma vulnerabilidade de escalonamento de privilégios no Windows COM+ Event System Service com uma classificação de gravidade CVSS de 7,8 em 10. De acordo com a Microsoft, tem uma complexidade de ataque “baixa” e, se explorada, pode conceder privilégios de nível de sistema a um invasor. Dizemos ‘se’ – na verdade está sendo explorado na natureza, de acordo com Redmond.
Como o ZDI observou, os bugs de escalonamento de privilégios geralmente são combinados com o RCE para assumir o controle de um sistema. “Esses tipos de ataques geralmente envolvem alguma forma de engenharia social, como atrair um usuário para abrir um anexo ou navegar em um site malicioso”, disse Dustin Childs, da ZDI.
“Apesar do treinamento anti-phishing quase constante, especialmente durante o ‘Cyber Security Awareness Month’, as pessoas tendem a clicar em tudo, então teste e implemente essa correção rapidamente”, acrescentou.
Além disso, detalhes de um bug de divulgação de informações no Microsoft Office, rastreado como CVE-2022-41043foi divulgado publicamente, então corrija isso antes de Redmond ter que listá-lo como sob exploração ativa.
Descoberto por SpecterOps’ Cody Thomasele também tem uma complexidade de ataque baixa e pode ser explorado para obter acesso aos tokens de autenticação dos usuários e potencialmente outras informações confidenciais.
Correções críticas da Microsoft
Das vulnerabilidades críticas, CVE-2022-37968uma falha de escalonamento de privilégios no Azure Arc Connect, recebeu a pontuação máxima de 10 de 10 CVSS, tornando-o o bug de maior gravidade abordado por Redmond este mês.
Ele afeta o recurso de conexão de cluster em clusters do Kubernetes habilitados para Azure Arc e pode ser explorado por um usuário não autenticado para obter controle de nível de administrador sobre o cluster. “Além disso, como o Azure Stack Edge permite que os clientes implantem cargas de trabalho do Kubernetes em seus dispositivos por meio do Azure Arc, os dispositivos Azure Stack Edge também são vulneráveis a essa vulnerabilidade”, alertou Redmond.
Mais duas vulnerabilidades críticas de escalonamento de privilégios, CVE-2022-37976 e CVE-2022-37979 afetam o Windows Active Directory e o Hyper-V, respectivamente.
O protocolo ponto a ponto do Windows tem oito CVEs corrigidos este mês, sete dos quais são erros críticos de execução remota de código: CVE-2022-22035, CVE-2022-24504, CVE-2022-30198, CVE-2022-33634, CVE-2022-38000, CVE-2022-38047 e CVE-2022-41081.
Embora a Microsoft diga que eles são “menos propensos a serem explorados” e observou que, para uma exploração bem-sucedida, um invasor precisaria de acesso adicional, o diretor de pesquisa de ameaças cibernéticas da Immersive Labs, Kev Breen, sugeriu corrigi-los mais cedo ou mais tarde.
“Embora não haja detalhes sobre qual pode ser a condição da corrida, com o tempo do seu lado, os atacantes podem ser persistentes e usar a automação para vencer qualquer condição de corrida”, disse ele. Strong The One. “As organizações com servidores VPN PPTP expostos publicamente devem priorizar a correção desses serviços ou a aplicação de regras de firewall para limitar o acesso.”
E, finalmente, os outros três RCEs críticos, CVE-2022-38048, CVE-2022-38049 e CVE-2022-41031segmente o Microsoft Office e o Word.
“Esses geralmente são alvos populares para os adversários, pois são um dos softwares mais populares do mundo e podem ser explorados apenas enganando um usuário para abrir um documento especialmente criado”, os pesquisadores da Cisco Talos Jon Munshaw e Vanja Svajcer notado.
SAP empurra quase duas dúzias de correções
A SAP lançou 23 patches de segurança SAP novos e atualizados este mês, que incluíam duas notas HotNews e seis notas de alta prioridade.
Uma delas, a Nota de segurança SAP nº 3242933, corrige uma vulnerabilidade de passagem de caminho crítico de classificação 9.9 no SAP Manufacturing Execution.
“A pontuação CVSS de 9,9 é baseada no fato de que o impacto na confidencialidade, integridade e disponibilidade pode ser alto, dependendo do tipo de informação que pode ser acessada durante um ataque”, disse Thomas Fritsch, pesquisador de segurança SAP na Onapsis.
Enquanto isso, a segunda Nota HotNews, #3239152, recebeu uma pontuação CVSS de 9,6. Ele corrige uma vulnerabilidade de sequestro de conta na página de login do SAP Commerce.
“Os invasores conseguiram injetar informações de redirecionamento nos URLs da página de login, fazendo com que a página de login redirecionasse informações confidenciais, como credenciais de login, para um servidor arbitrário na Internet”, disse Fritsch.
“Os invasores não exigem privilégios para iniciar uma exploração, mas precisam que um usuário clique no link malicioso que abre o formulário de login manipulado para executar a exploração”, acrescentou.
Adobe corrige 29 CVEs
As correções de segurança mensais da Adobe incluem quatro atualizações que corrigem 29 CVEs em todo o seu Fusão a frio, Acrobata e Leitor, Comércio e Magentoe Dimensão produtos de software.
Nenhum deles está sob exploração ou listado como conhecido publicamente, embora alguns tenham recebido altas pontuações de CVSS, por isso sugerimos a correção o mais rápido possível.
A atualização do Commerce e do Magento corrige um bug de cross-site scripting (XSS) armazenado que recebeu uma classificação de gravidade 10/10 perfeita. Além disso, a atualização do ColdFusion corrige cinco erros críticos de execução de código arbitrário. Outro bug neste produto classificado como “importante” é devido ao uso de credenciais codificadas.
Apesar da garantia da Adobe de que nenhum desses bugs foi explorado em estado selvagem, como a ZDI observou: “É difícil imaginar que credenciais codificadas existem no produto há tanto tempo sem serem descobertas”.
Correção de e-mail da Apple
Maçã empurrado uma atualização de segurança para iOS 16 no iPhone 8 e posterior para corrigir um “problema de validação de entrada” em seu aplicativo de e-mail.
Embora não forneça muitos detalhes sobre o CVE-2022-22658, a Apple disse aos clientes que “processar uma mensagem de e-mail mal-intencionada pode levar a uma negação de serviço”.
O Android tem alguns RCEs críticos
Google fixo 48 vulnerabilidades do Android, quatro das quais são críticas e podem permitir a execução remota de código (RCE). Nenhum deles foi explorado na natureza.
O Google não publica informações sobre bugs específicos em seu boletim mensal do Android. No entanto, observou: “o mais grave desses problemas é uma vulnerabilidade crítica de segurança no componente Framework que pode levar à escalação local de privilégios sem a necessidade de privilégios de execução adicionais”.
Os outros três CVEs críticos afetam os componentes da Qualcomm em dispositivos Android.
VMware se junta à festa do patch
VMware emitido dois avisos de segurança para corrigir três vulnerabilidades no VMware ESXi, vCenter Server e Aria Operations.
O pior do grupo, considerado “importante”, é o CVE-2022-31680 – uma vulnerabilidade de desserialização no controlador de serviços da plataforma vCenter Server. “Um ator mal-intencionado com acesso de administrador no servidor vCenter pode explorar esse problema para executar código arbitrário no sistema operacional subjacente que hospeda o vCenter Server”, disse a gigante da virtualização. avisou.
Mas espere, há Cisco
A Cisco publicou ou atualizou 12 alertas de segurança para 15 vulnerabilidades este mês, e rotulou quatro dos CVEs de impacto “alto” com o restante de gravidade “média”.
Dos novos bugs de alto risco, todos os quais podem ser explorados por um invasor remoto não autenticado: CVE-2022-20814na validação de certificados do Cisco Expressway-C e Cisco TelePresence VCS, poderia permitir o acesso a dados confidenciais.
Enquanto isso, CVE-2022-20853na API REST do Cisco Expressway Series e Cisco TelePresence VCS pode ser usado para realizar um ataque de falsificação de solicitação entre sites em um sistema afetado.
E CVE-2022-20929uma vulnerabilidade na verificação de assinatura de atualização do Cisco Enterprise NFV Infrastructure Software, pode permitir que um invasor não autenticado com acesso local comprometa totalmente o sistema.
Nenhum deles foi explorado na natureza. ®
.
