.
Duas falhas no software da Microsoft estão sendo atacadas em sistemas que não foram corrigidos pelos administradores.
Redmond emitiu correções para as vulnerabilidades – uma afetando o Visual Studio e a outra o subsistema Win32k – em abril e maio, mas em relatórios separados esta semana, pesquisadores de segurança do Varonis Threat Labs e Numen Cyber alertaram que sistemas sem patches já estão sendo explorados.
Os analistas da Numen observaram que a falha Win32k.sys de escalonamento de privilégios – rastreada como CVE-2023-29336 com uma classificação de gravidade CVS de 7,8 em 10 – foi explorada por criminosos, acrescentando que, embora não afete o Windows 11, versões mais antigas do Windows 10, Windows 8 e Windows Server estão em risco.
“Isso representa um risco significativo para os sistemas anteriores”, os pesquisadores escreveu. “A exploração de tais vulnerabilidades tem um histórico notório.”
Win32k.sys é um driver de modo kernel responsável pelo gerenciamento, atuando como a interface gráfica do Windows. Os criminosos que exploram a vulnerabilidade podem obter privilégios de sistema e maior controle sobre um sistema comprometido. Sistemas Web Host primeiro escreveu sobre a falha em maio, quando a Microsoft lançou a correção durante o mês Atualização de terça-feiramas nenhuma das empresas entrou em detalhes sobre o problema.
No mesmo mês, a Agência de Segurança Cibernética e Infraestrutura (CISA) adicionado a falha em sua lista de vulnerabilidades que estavam sendo exploradas. Parece que muitos não ouviram.
Começando com o patch e trabalhando de volta
Os analistas do Numen analisaram a vulnerabilidade desconstruindo o patch e criaram uma exploração de prova de conceito (PCO) no Windows Server 2016. Eles disseram que o problema era que, embora o Win32k bloqueie um objeto de janela, ele não faz o mesmo para o menu objeto aninhado dentro dele.
Os invasores podem explorar a vulnerabilidade assumindo o controle do objeto de menu para aumentar seus privilégios de acesso e vincular-se a outras vulnerabilidades. Ao criar seu POC, a Numen desenvolveu um método para atingir o nível de privilégio do sistema, observando que não havia desafios significativos.
“Além de explorar diligentemente diferentes métodos para obter controle sobre a primeira operação de gravação usando os dados reocupados da memória liberada, normalmente não há necessidade de novas técnicas de exploração”, escreveram os pesquisadores. “Esse tipo de vulnerabilidade depende fortemente de endereços de identificador de heap de área de trabalho vazados”.
Houve algumas modificações, mas eles escreveram que “se esse problema não for totalmente resolvido, continua sendo um risco de segurança para sistemas mais antigos”.
A Microsoft na versão de visualização mais recente do Windows 11 usou a linguagem Rust para abordar a parte específica do código do kernel que os pesquisadores da Numen aproveitaram, o que poderia eliminar tais vulnerabilidades no futuro.
E depois há o Visual Studio
O outro relatório lida com um bug de interface do usuário no instalador do Visual Studio da Microsoft que pode fazer com que um desenvolvedor de aplicativos aplique inadvertidamente extensões maliciosas ao seu trabalho.
“Um ator de ameaça pode se passar por um editor popular e emitir uma extensão maliciosa para comprometer um sistema visado”, escreveu Dolev Taler, pesquisador de segurança da Varonis. “Extensões maliciosas foram usadas para roubar informações confidenciais, acessar e alterar códigos silenciosamente ou assumir o controle total de um sistema.”
Taler descobriu a falha, com a Microsoft emitir um patch em abril. Redmond classificou o bug, rastreado como CVE-2023-28299, como importante e não crítico.
No entanto, Taler escreveu que não é difícil explorar a falha, e isso combinado com os altos riscos que surgem se um sistema for comprometido e a popularidade do Visual Studio torna importante para as organizações aplicar o patch. Ele observou que o Visual Studio é o segundo IDE mais popular, com uma participação de mercado de 26% e mais de 30.000 clientes.
Além disso, Taler escreveu que existem centenas de extensões do Visual Studio “que permitem aos usuários fazer qualquer coisa, desde a integração de servidores GitHub e SQL até ferramentas de produtividade simples, como verificações ortográficas e recorte de código. As extensões mais populares rotineiramente têm milhões de downloads”.
O Visual Studio mantém os caracteres de controle de nova linha – que representam o final de uma linha de texto e o início de uma nova linha – do nome de uma extensão, não permitindo que os usuários adicionem informações à extensão “nome do produto”, propriedade, escreveu ele.
O problema é que um criminoso pode ignorar a restrição abrindo um pacote VSIX como um arquivo ZIP e o criminoso pode adicionar manualmente caracteres de nova linha à tag
Se caracteres de nova linha suficientes forem adicionados à extensão “nome, todos”, outro texto no prompt de instalação do Visual Studio será empurrado para baixo, o que basicamente oculta o aviso “Assinatura digital: nenhuma” para os desenvolvedores, opinou ele.
O malfeitor pode enviar um e-mail de phishing disfarçado como uma atualização de software legítima com a extensão VSIX falsa que imita uma real. Uma vítima que não vê que a extensão maliciosa não está realmente conectada, pode instalá-la, implantando uma carga dentro da extensão e permitindo que o invasor obtenha acesso inicial.
A partir daí, trata-se de movimentação lateral pela rede da organização, podendo o meliante roubar dados confidenciais e IP corporativo. ®
.
