.
Atualização de terça-feira A festa do patch de agosto da Microsoft parece quase entediante em comparação com os outros incêndios de segurança que vem apagando ultimamente.
Das quase 90 falhas abordadas hoje, duas estão listadas como sendo exploradas ativamente. Redmond considerou seis dos bugs marcados com CVE de agosto como críticos, embora observemos que existem 26 vulnerabilidades que podem levar à execução remota de código (RCE).
Um dos dois que os malfeitores já encontraram e exploraram ainda não tem patch. O aviso para essa falha, ADV230003, está relacionado ao CVE-2023-36884 do mês passado no Microsoft Office e, como observa o gigante de TI, é uma “atualização de defesa em profundidade”. A instalação da atualização “interrompe a cadeia de ataque que leva à vulnerabilidade de desvio do recurso de segurança do Windows Search”, nos disseram.
A Microsoft investigou esse bug pela primeira vez como um RCE e, no mês passado, avisou que uma tripulação russa rastreia como Storm-0978, (aka RomCom) usou essa falha para atingir os participantes da cúpula da OTAN na Lituânia.
Portanto, até que um patch oficial seja lançado, esperamos que a atualização funcione para interromper os ataques enquanto esperamos por uma correção adequada.
O segundo bug que já foi explorado, CVE-2023-38180, pode permitir um ataque distribuído de negação de serviço em aplicativos .NET e no Visual Studio. E essa é toda a informação que Redmond forneceu sobre essa falha.
Enquanto isso, a Zero Day Initiative, que encontrou e relatou três das vulnerabilidades deste mês para Redmond, detalha um punhado de “mais interessante“CVEs este mês, então vamos dar uma olhada em alguns deles.
Primeiramente: CVE-2023-38181, uma vulnerabilidade de falsificação do Microsoft Exchange Server. Como explica Dustin Childs da ZDI, “este é um desvio de patch do CVE-2023-32031, que era um desvio do CVE-2023-21529, que era um desvio do CVE-2022-41082, que estava sob ataque ativo”.
CVE-2022-41082 foi um dos dois ProxyNotShell Trocar brechas de segurança que foram remendado em novembro. Parece que a Microsoft ainda está lançando correções para resolver essa vulnerabilidade.
Embora o CVE-2023-38181 exija autenticação, a exploração pode permitir que criminosos “acessem o hash Net-NTLMv2 de um usuário, que pode ser usado como base para um ataque de retransmissão NTLM contra outro serviço para autenticar como o usuário”, explicou a Microsoft.
Você pode bloquear a porta TCP 1801 como mitigação, mas a melhor opção é testar e implantar a atualização rapidamente
A seguir: três RCEs do serviço de enfileiramento de mensagens, CVE-2023-35385, CVE-2023-36910e CVE-2023-36911, todos os quais receberam uma classificação de gravidade CVSS de 9,8 em 10, podem permitir que um invasor remoto execute código em um sistema Windows vulnerável explorado no nível do serviço de enfileiramento de mensagens. Fomos informados de que existe um código de exploração de prova de conceito para eles.
“Há um total de 11 bugs que afetam o serviço de enfileiramento de mensagens sendo corrigidos este mês, e está claro que a comunidade de pesquisa está prestando muita atenção a esse serviço”, observou Childs. “Embora ainda não tenhamos detectado explorações ativas direcionadas ao enfileiramento de mensagens, é apenas uma questão de tempo, pois existem PoCs de exemplo. Você pode bloquear a porta TCP 1801 como uma mitigação, mas a melhor opção é testar e implantar a atualização rapidamente.”
E embora Redmond tenha alertado recentemente sobre o Urso Aconchegante usando Conversas do Microsoft Teams em tentativas de phishing em governos, ONGs e empresas de TI, hoje a Microsoft corrigiu dois bugs RCE críticos no Teams, CVE-2023-29328 e CVE-2023-29330. Se um invasor conseguir induzir uma vítima a ingressar em uma reunião maliciosa do Teams, ele poderá explorar esses bugs para executar remotamente o código na máquina da vítima.
Atualizações de segurança da Adobe
A Adobe lançou hoje atualizações de segurança para seus produtos Acrobat e Reader, Commerce e Magento Open Source, Dimension e XMP-Toolkit-SDK, e diz que não está ciente de nenhuma de suas vulnerabilidades sendo exploradas em estado selvagem.
O Acrobat e Reader A atualização abordou 30 CVEs críticos, importantes e moderados que podem levar à negação de serviço do aplicativo, desvio de recurso de segurança, vazamentos de memória e execução arbitrária de código.
Três vulnerabilidades críticas e importantes em Adobe Commerce e Magento Open Source pode levar à execução arbitrária de código, escalonamento de privilégios e leitura arbitrária do sistema de arquivos.
Há outros três CVEs críticos e moderados em Adobe Dimension isso pode levar à execução de código arbitrário e vazamentos de memória no contexto do usuário atual.
E finalmente o XMP-Toolkit-SDK A atualização preenche uma falha de segurança importante que pode levar à negação de serviço do aplicativo.
SAP envia 20 patches novos e atualizados
SEIVA lançado 20 patches de segurança novos e atualizados, incluindo dois HotNews Notes e oito High Priority Notes.
O HotNews Note 3350297 atualizado, que obteve uma pontuação CVSS de 9,1, requer atenção especial. Este foi lançado pela primeira vez em julho e aborda uma falha de injeção de comando do SO no IS-OIL. Este erro, nos disseramnão pode ser explorado sem IS-OIL e dois switches, OIB_QCI e OI0_COMMON_2, sendo ativados.
Como a SAP adverte: “Não ative o IS-OIL ou qualquer função de negócios ou switch relacionado a ele apenas para implementar a nota SAP nº 3350297. A maioria dos switches IS-OIL não é reversível e pode causar danos a sistemas que não são relevantes para o IS-OIL. ”
Enquanto isso, o HotNews Note 3341460 de agosto, com uma classificação CVSS de 9,8, corrige dois bugs no SAP PowerDesigner. Afeta clientes com SAP PowerDesigner Client conectando-se a um repositório de modelo compartilhado por meio de um SAP PowerDesigner Proxy. A exploração pode permitir que um invasor não autenticado execute consultas arbitrárias no banco de dados de back-end por meio de um proxy, disse Thomas Fritsch, pesquisador de segurança SAP da Onapsis. Strong The One.
Além disso, embora a Nota de Alta Prioridade 3344295 não tenha a pontuação CVSS mais alta (ganhou 7,5), “ela pode afetar a maioria dos clientes SAP, pois está relacionada ao SAP Message Server”, disse Fritsch.
É uma falha de verificação de autorização imprópria e pode levar à leitura e gravação não autorizada de dados.
Intel e AMD juntam-se à festa do patch
A Intel lançou hoje uma carga completa de avisos. Por exemplo, há quatro alertas para seu Kit de desenvolvimento de software RealSense, Software de sistema de teste inteligente (ITS), Software MAVinci Desktop para Intel Falcon 8+, e seu Aplicativo Android Unite.
Três desses quatro – CVE-2023-32663, CVE-2023-32543e CVE-2023-32547 — são vulnerabilidades de escalonamento de privilégios com classificação 6.7 que afetam SDKs RealSense, software ITS e software MAVinci Desktop, respectivamente.
O quarto, CVE-2023-32609 no aplicativo Android Unite da Intel, pode permitir a divulgação de informações.
Então há CVE-2022-40982também conhecido como Queda, outra vulnerabilidade de vazamento de dados nos processadores Intel Skylake (6ª geração) para Tiger Lake (11ª geração). Ele pode ser abusado por programas mal-intencionados e usuários desonestos para roubar informações, como senhas e segredos, mantidos na memória de outros usuários de um sistema compartilhado. Também funciona em ambientes de nuvem.
Isso pode ser corrigido com uma atualização de firmware de microcódigo e também com atenuações em nível de software. Teremos mais sobre isso mais tarde: será discutido na conferência Black Hat USA desta semana em Las Vegas, e foi descoberto pelo Googler Daniel Moghimi. O código de exploração de prova de conceito é aqui.
Então há o resto da Intel – dezenas no total.
Além disso, a AMD hoje lançado nove atualizações de segurança para corrigir 13 falhas.
Bug crítico do Ivanti piora
Na segunda-feira, Ivanti disse que o CVE-2023-35082, uma vulnerabilidade de acesso remoto não autenticado à API, afeta todas as versões do Ivanti Endpoint Manager Mobile (EPMM), anteriormente chamado de MobileIron Core, em vez de apenas MobileIron Core 11.2 e anteriores.
Este, é claro, é o bug crítico que foi explorado no mês passado e usado para comprometer 12 agências do governo norueguês antes de Ivanti emitir uma correção.
“Desde o relato original do CVE-2023-35082 em 2 de agosto de 2023 às 10:00 MDT, a Ivanti continuou sua investigação e descobriu que essa vulnerabilidade afeta todas as versões do Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9 e 11.8 e MobileIron Core 11.7 e abaixo”, alertou o fornecedor. “O risco de exploração depende das configurações individuais do cliente.”
VPNs quebradas?
Cisco advertido que um artigo divulgado hoje, “Bypassing Tunnels: Leaking VPN Client Traffic by Abusing Routing Tables”, [PDF] discute dois ataques, chamados coletivamente de TunnelCrack, que exploram CVE-2023-36672 e CVE-2023-36673 e afetam o Cisco Secure Client AnyConnect VPN para iOS independentemente da configuração do cliente.
Esses ataques não afetam o Cisco Secure Client AnyConnect para Android.
Mathy Vanhoef, da KU Leuven, co-autor do artigo aceito pela Usenix com colegas da New York University e da New York University Abu Dhabi, e relatou os bugs à Cisco, também divulgou prova de conceito código de exploração e mais detalhes para esses ataques. Parece bastante sério e estamos analisando as reivindicações: dizem que os pontos fracos que Vanhoef et al encontraram em várias soluções VPN podem ser abusados para fazer com que o tráfego de rede da vítima seja roteado inesperadamente para fora de um túnel VPN, entre outras coisas.
Os pesquisadores do TunnelCrack explicaram:
A Cisco descreveu assim: um invasor “pode manipular exceções de roteamento que são mantidas pelo cliente para redirecionar o tráfego para um dispositivo que eles controlam sem o benefício da criptografia do túnel VPN”. Dito isso, os negócios consideram que as regras de firewall adequadas, se necessárias, são suficientes para derrotar esses desvios.
“Para clientes que configuraram clientes para permitir acesso à LAN local, a Cisco recomenda a aplicação de regras de firewall do cliente para permitir o acesso apenas aos recursos necessários”, disse a gigante da rede.
Fortinet corrige o FortiOS
Fortinet hoje emitiu uma atualização para corrigir um bug de estouro de buffer baseado em pilha com classificação 6.4-CVSS no FortiOS.
Ele é rastreado como CVE-2023-29182 e pode permitir que criminosos executem códigos arbitrários por meio de comandos CLI especialmente criados e assumam o controle total de um sistema comprometido.
Android pluga um bug crítico
E, finalmente, o Google empurrou seu Android Atualizações de segurança de agosto ontem para corrigir bugs que afetam esses dispositivos.
“O mais grave desses problemas é uma vulnerabilidade de segurança crítica no componente do sistema que pode levar à execução remota (proximal/adjacente) de código sem a necessidade de privilégios de execução adicionais”, alertou o Google, acrescentando que essa vulnerabilidade não requer nenhuma interação do usuário. para exploração. ®
.
