.
Feliz maio Patch terça-feira. Temos muitos fornecedores participando do patchapalooza deste mês, que inclui um punhado de bugs que foram explorados – seja na natureza ou no Pwn2Own – e agora corrigidos pela Microsoft, Apple, Google e VMware.
Começando pela Microsoft: Redmond divulgou e corrigiu 60 CVEs do Windows hoje, incluindo dois listados como conhecidos publicamente e explorados antes do patch ser lançado.
O primeiro é um bug de elevação de privilégio na biblioteca principal do Windows DWM, rastreado como CVE-2024-30051, que recebeu uma classificação CVSS de 7,8. Ele permite que um invasor obtenha privilégios de sistema, portanto, corrija o mais rápido possível.
Embora a Microsoft não forneça detalhes sobre a escala e o escopo da exploração, ela foi detectada por vários caçadores de bugs, o que indica que está bastante difundida. Redmond credita Mert Degirmenci e Boris Larin da Kaspersky, Quan Jin e Guoxian Zhong do DBAPPSecurity WeBin Lab, Vlad Stolyarov e Benoit Sevens do Google Threat Analysis Group e Bryce Abdo e Adam Brunner do Google Mandiant por encontrar e relatar a vulnerabilidade.
De acordo com a equipe da Kaspersky, o CVE-2024-30051 está sendo usado para implantar o Trojan bancário Qakbot e outros malwares, e eles “acreditam que vários agentes de ameaças têm acesso a ele”.
O segundo listado como “exploração detectada” é rastreado como CVE-2024-30040 e é um bug de desvio de recurso de segurança no Windows MSHTML que recebeu uma pontuação CVSS de 8,8. Novamente, não há detalhes de Redmond sobre quem está explorando esta vulnerabilidade e em que escala.
De acordo com a Microsoft, um invasor poderia abusar dessa falha primeiro convencendo um usuário a carregar um arquivo malicioso – provavelmente enviado por e-mail ou mensagem instantânea. Depois que o arquivo for aberto, o invasor poderá explorar o bug para ignorar as mitigações de OLE no Microsoft 365 e no Microsoft Office e, em seguida, executar o código.
Apenas um dos 60 bugs da Microsoft é considerado crítico, ganhando uma classificação CVSS de 8,8, então vamos passar para o próximo. É uma vulnerabilidade de execução remota de código (RCE) no SharePoint Server rastreada como CVE-2024-30044. O pesquisador da Zero Day Initiative, Piotr Bazydło, descobriu e relatou isso à Microsoft, e permite que um invasor não autenticado com permissão do proprietário do site injete e execute código arbitrário.
“Eles também poderiam realizar uma falsificação de solicitação do lado do servidor (SSRF) baseada em HTTP e – o mais importante – realizar a retransmissão NLTM como a conta de serviço do SharePoint Farm”, alerta Dustin Childs da ZDI. “Bugs como esse mostram por que as vulnerabilidades de divulgação de informações não devem ser ignoradas ou despriorizadas.”
Apple também sob ataque
A Apple tem vários bugs e correções este mês, sendo o “mais notável”, segundo Childs, um patch para CVE-2024-23296 para iOS 16.7.8 e iPadOS 16.7.8. É uma falha de corrupção de memória no RTKit que pode ser abusada para contornar as proteções de memória do kernel por um invasor com capacidade arbitrária de leitura e gravação do kernel.
“A Apple está ciente de um relatório de que este problema pode ter sido explorado”, observou Cupertino, então vá em frente e atualize este também em breve.
Também esta semana: a Apple corrigiu um bug no Safari, rastreado como CVE-2024-27834, que foi explorado durante o Pwn2Own pelo vencedor do Master of Pwn, Manfred Paul.
Espere, outro bug do Chrome sendo explorado?
O Google lançou uma atualização para corrigir uma falha de alta gravidade do navegador Chrome, rastreada como CVE-2024-4761, que já foi explorada por malfeitores, de acordo com a Fábrica de Chocolate. É um bug de gravação fora dos limites no mecanismo JavaScript V8 e, normalmente, o Google não fornece detalhes sobre quem está explorando o CVE e para quais propósitos nefastos.
Além da correção emergencial do Chrome, o Google lançou suas habituais atualizações mensais do Android que corrigiram 38 vulnerabilidades. “O mais grave desses problemas é uma vulnerabilidade crítica de segurança no componente do sistema que pode levar ao escalonamento local de privilégios sem a necessidade de privilégios de execução adicionais”, fomos informados.
VMware Pwned
A gigante da virtualização atualizou o software VMware Workstation e Fusion para corrigir quatro vulnerabilidades de segurança (CVE-2024-22267, CVE-2024-22268, CVE-2024-22269, CVE-2024-22270), a mais séria das quais é um uso posterior. -vulnerabilidade livre (CVE-2024-22267) em ambos os produtos que receberam uma classificação CVSS de 9,3.
“Um ator mal-intencionado com privilégios administrativos locais em uma máquina virtual pode explorar esse problema para executar código como o processo VMX da máquina virtual em execução no host”, disse VMware.
É importante notar que esta falha também foi encontrada e explorada durante o Pwn2Own por Gwangun Jung e Junoh Lee da Theori e STAR Labs SG.
Adobe resolve 37 bugs
A Adobe lançou oito patches para 37 bugs em seus produtos, nenhum dos quais está listado como publicamente conhecido ou sob exploração.
A atualização para Acrobat e Reader aborda 12 CVEs, nove dos quais são classificados como falhas de gravidade crítica. A Adobe também corrigiu três vulnerabilidades no Illustrator, quatro no Substance 3D Painter, uma no Aero e uma no Substance 3D Designer.
Enquanto isso, a atualização do Adobe Animate corrige sete CVEs e o FrameMaker corrige oito.
SAP protege CVEs críticos
A SAP lançou dezessete patches novos e atualizados, incluindo duas notas HotNews e uma nota de alta prioridade.
As duas notas do HotNews merecem prioridade máxima, de acordo com Thomas Fritsch, pesquisador de segurança SAP da Onapsis. Isso inclui a nota de segurança nº 3455438, que recebeu uma pontuação CVSS de 9,8 e corrige duas vulnerabilidades críticas no SAP Customer Experience (CX) Commerce causadas por bibliotecas externas usadas no SAP Commerce Cloud.
A nota de segurança nº 3448171 da SAP aborda outra falha crítica, esta recebendo uma pontuação CVSS de 9,6. Ele corrige uma vulnerabilidade de upload de arquivo no SAP NetWeaver Application Server ABAP e ABAP Platform.
“O Onapsis Research Labs (ORL) detectou que, devido à falta de uma verificação de assinatura em dois repositórios de conteúdo, um invasor não autenticado pode fazer upload de um arquivo malicioso para o servidor que, quando acessado por uma vítima, pode permitir que um invasor comprometa completamente o sistema”, Fritsch explicou.
Por último, mas não menos importante…Intel
E completando a festa de patch deste mês, a Intel contribuiu com 41 atualizações.
Apenas uma dessas atualizações de segurança é considerada crítica e corrige um bug de escalonamento de privilégios (CVE-2024-22476) no software Intel Neural Compressor anterior à versão 2.5.0 que poderia ser explorado por um usuário remoto e não autenticado. Ele recebeu uma classificação CVSS perfeita de 10 em 10, então comece com esta atualização.
A mesma atualização de produto também aborda uma falha menor (CVE-2024-21792) com uma classificação CVSS média de 4,7. Esta é uma condição de corrida de tempo de verificação de tempo de uso (TOC/TOU) que pode ser explorada para divulgação de informações por um usuário não autenticado com acesso local. ®
.
