.
Atualização de terça-feira A Microsoft começou o Ano Novo com uma terça-feira de patch relativamente calma: apenas 49 atualizações de segurança do Windows, incluindo correções para dois bugs críticos, além de quatro falhas de alta gravidade do Chrome no Microsoft Edge.
Nenhum dos CVEs de janeiro está sob exploração ativa, de acordo com Redmond. Das duas vulnerabilidades críticas, CVE-2024-20674 recebeu a classificação de gravidade CVSS mais alta. É um bug de desvio de recurso de segurança com classificação 9,0 em 10 no Windows Kerberos.
“Um invasor não autenticado poderia explorar esta vulnerabilidade estabelecendo um ataque machine-in-the-middle (MITM) ou outra técnica de falsificação de rede local e, em seguida, enviando uma mensagem Kerberos maliciosa para a máquina cliente vítima para se falsificar como o servidor de autenticação Kerberos”, Microsoft explicou.
A boa notícia é que antes de lançar um ataque, um criminoso precisaria primeiro obter acesso à rede. No entanto, Redmond lista este CVE como “exploração mais provável”, e não está sozinho nesta suposição.
Como observa Dustin Childs, da Zero Day Initiative, isso “significa que eles esperam ver o código de exploração público dentro de 30 dias.
A segunda atualização com classificação crítica corrige CVE-2024-20700, um bug de execução remota de código (RCE) com classificação 7,5 no hipervisor Windows Hyper-V. Abusar dessa falha não é fácil: um invasor precisaria estar dentro da rede para explorar o problema e vencer uma condição de corrida. Os detalhes são escassos.
Embora esteja listado como exploração menos provável, porque o Hyper-V é executado com os privilégios mais altos em uma máquina, “vale a pena pensar em corrigir”, disse Ben McCarthy, engenheiro-chefe de segurança cibernética da Immersive Labs. Strong The One.
Fora isso, o pacote de patches não é tão ruim, relativamente falando. Existem quatro falhas classificadas como “altas” – todas no Chromium – e as demais são definidas como “importantes”.
Mês lento para a Adobe também
A Adobe lançou uma atualização de segurança para seu produto Substance 3D Stager que corrige seis vulnerabilidades, todas classificadas como “importantes”, que podem permitir vazamentos de memória e execução arbitrária de código. Felizmente, não parece que nenhum dos CVEs tenha sido explorado antes do patch.
SAP lança 12 patches
A SAP emitiu 12 patches novos e atualizados, incluindo três notas HotNews e quatro notas de alta prioridade. Duas das Notas NotNews são novas e todas as três receberam pontuações CVSS de 9,1.
Uma das novas notas do HotNews, #3413475, aborda uma vulnerabilidade de escalonamento de privilégios no SAP Edge Integration Cell devido a CVE-2023-49583 e CVE-2023-50422. O outro, #3412456, também corrige o escalonamento de privilégios em aplicativos desenvolvidos por meio do SAP Business Application Studio, SAP Web IDE Full-Stack ou SAP Web IDE para SAP HANA.
Esses aplicativos também podem ser afetados pelo CVE-2023-49583, de acordo com Thomas Fritsch, pesquisador de segurança SAP da Onapsis. Isso ocorre porque “suas dependências podem referir-se a versões vulneráveis das bibliotecas @sap/approuter e @sap/xssec”, observou Fritsch. “Portanto, a nota nº 3412456 recomenda atualizar as dependências dos aplicativos node.js existentes para as versões mais recentes dessas bibliotecas introduzidas com a nota de segurança SAP nº 3411067.”
Saco misto para Cisco
A Cisco lançou sua atualização final para dois CVEs de escalonamento de privilégios em seu Identity Services Engine (ISE), que foram divulgados originalmente em setembro. Os bugs são rastreados como CVE-2023-20193 e CVE-2023-20194 e apenas este último possui patch.
CVE-2023-20193, aquele sem correção, é devido ao gerenciamento inadequado de privilégios no Embedded Service Router (ESR) do Cisco ISE. Explorar esse bug “pode permitir que um invasor local autenticado leia, grave ou exclua arquivos arbitrários no sistema operacional subjacente e aumente seus privilégios para root”, de acordo com a gigante das redes.
Algumas coisas a serem observadas sobre essa falha: primeiro, um invasor deve ter privilégios válidos de nível de administrador nos dispositivos afetados para realizar um ataque com êxito. E segundo, o ERS não está habilitado por padrão. Não é um problema enorme, mas vale a pena consertar, se necessário.
E Android
O Boletim de Segurança de janeiro do Google para Android aborda 59 CVEs, mas nenhum deles parece ter sido encontrado e explorado por criminosos antes dos patches.
O mais grave de todos existe nos componentes do Framework. O Google diz que isso levaria a um escalonamento local de privilégios, sem a necessidade de privilégios de execução adicionais. ®
.
