.
Atualização de terça-feira O lançamento mensal do patch da Microsoft chegou, entregando apenas 61 vulnerabilidades marcadas com CVE – nenhuma listada como sob ataque ativo ou já conhecida do público.
Manteremos nosso julgamento até amanhã para ver se o Exploit Wednesday faz jus ao seu nome. Enquanto isso, vamos dar uma olhada nos bugs de segurança de Redmond.
Dois dos patches mais recentes estão listados como críticos e ambos afetam o hipervisor Windows Hyper-V. Estranhamente, os dois bugs críticos não receberam as classificações CVSS mais altas – mas falaremos mais sobre isso daqui a pouco.
CVE-2024-21407, uma vulnerabilidade crítica de execução remota de código (RCE) no Hyper-V com uma classificação de gravidade CVSS de 8,1, é listada como “exploração menos provável” por Redmond.
“Esta vulnerabilidade exigiria que um invasor autenticado em uma VM convidada enviasse solicitações de operação de arquivo especialmente criadas na VM para recursos de hardware na VM, o que poderia resultar na execução remota de código no servidor host”, de acordo com a atualização de segurança.
Dustin Childs, da Zero Day Initiative, observou que esse tipo de falha – muitas vezes chamada de “fuga de convidado para host” – poderia ser usada para manipular outros sistemas operacionais convidados no servidor. “É uma pena que não veremos esse bug ser explorado no Pwn2Own na próxima semana, onde poderia ter ganho US$ 250 mil”, lamentou Childs. “Talvez no próximo ano.” Ou talvez no VMware, que na semana passada revelou sua própria falha de escape do sandbox.
A segunda vulnerabilidade crítica, CVE-2024-21408, é uma falha de negação de serviço (DOS) no Hyper-V que obteve uma classificação CVSS de 5,5, pois significa que um invasor pode enviar um pacote especialmente criado para um servidor Hyper-V e induzir um ataque. ataque de negação de serviço. Como não é classificado como RCE ou falha de elevação de privilégio, presumimos que a negação de serviço também não permitiria. A Microsoft não publicou um FAQ sobre este, pois o classificou como menos provável de ser explorado do que o outro buraco do Hyper-V.
Não é crítico, mas tem mais de 9 classificações CVSS
A falha mais grave deste mês em termos de pontuações CVSS é CVE-2024-21334, uma vulnerabilidade RCE de infraestrutura de gerenciamento aberta (OMI) com classificação 9,8. Isso permitiria que um invasor remoto e não autenticado acessasse a instância do OMI pela Internet, enviasse uma solicitação especialmente criada e acionasse uma vulnerabilidade de usuário após liberação.
Se você não conseguir atualizar agora, a Microsoft sugere desabilitar as portas que o OMI usa para o tráfego de entrada, desde que as máquinas Linux não precisem de escuta de rede.
“Considerando que este é um bug simples de Use After Free (UAF) em um alvo interessante, espero ver a varredura da porta TCP 5986 aumentando em breve”, alertou Dustin Childs, da Zero Day Initiative.
Outro bug com uma classificação CVSS alta que não recebeu um rótulo crítico da Microsoft é o CVE-2024-21400, uma falha de elevação ou privilégio com classificação 9.0 nos contêineres confidenciais do serviço Microsoft Azure Kubernetes que pode ser usada para ignorar a segurança e roubar credenciais.
“A violação essencialmente abre uma porta dos fundos para os invasores, comprometendo a confidencialidade e a integridade do sistema confidencial”, observou Mat Lee, engenheiro de segurança da Automox.
“A mecânica desta vulnerabilidade envolve a exploração dos limites de segurança do contêiner usando ‘az confcom’, uma ferramenta de linha de comando para interagir com recursos confidenciais, levando ao acesso não autorizado a informações confidenciais”, explicou Lee. “Dada a crescente adoção de contêineres confidenciais para implantação de aplicativos, o impacto potencial desta vulnerabilidade é substancial”.
O boletim da Microsoft detalha os comandos necessários para corrigir essa falha, portanto, verifique e corrija o mais rápido possível.
Adobe resolve 56 bugs
O patch-a-thon mensal da Adobe viu a empresa lançar seis correções abordando 56 vulnerabilidades no Experience Manager, Premiere Pro, ColdFusion, Bridge, Lightroom e Animate. Nenhum deles está listado como estando sob exploração ativa.
Impressionantes 46 das 56 falhas estão no Adobe Experience Manager, e todas, exceto duas das 46, são bugs de cross-site scripting (XSS) que podem levar à execução arbitrária de código. As outras duas são vulnerabilidades de validação de entrada inadequadas que poderiam ser exploradas para contornar recursos de segurança. Todos os 46 são considerados de gravidade importante ou moderada.
O patch para Premiere Pro corrige dois bugs de gravidade crítica, e a atualização do ColdFusion também aborda uma vulnerabilidade crítica que pode ser abusada na execução de código.
Tanto o Adobe Bridge quanto o Adobe Animate reforçam quatro CVEs críticos e importantes, enquanto o patch do Lightroom corrige uma vulnerabilidade crítica.
Intel e AMD juntam-se à diversão
A Intel lançou oito patches para resolver 11 CVEs em seus produtos de hardware, firmware e software. Nenhum é crítico, mas existem alguns bugs de alta gravidade com classificação 7,2.
CVE-2023-32666 pode permitir escalonamento de privilégios ou divulgação de informações em alguns processadores Intel Xeon de 4ª geração que usam Intel Software Guard Extensions (SGX) ou Intel Trust Domain Extensions (TDX).
CVE-2023-32282 é uma vulnerabilidade de condição de corrida no firmware do BIOS para alguns processadores Intel que pode permitir que um usuário privilegiado aumente o privilégio se tiver acesso local.
Os outros seis avisos da Intel abordam falhas de gravidade média.
Os dois avisos da AMD incluem um bug de condição de corrida rastreado como CVE-2024-2193. Esta falha foi detectada pelos pesquisadores Hany Ragab e Cristiano Giuffrida, do grupo VUSec da VU Amsterdam, e Andrea Mambretti e Anil Kurmus, da IBM Research Europe, Zurique. A equipe divulgou o problema à AMD e publicou um artigo intitulado “Ataques genéricos e automatizados de cache de GPU drive-by do navegador”.
A AMD recomenda que os clientes sigam suas orientações anteriores [PDF] na mitigação de ataques do tipo Spectre para resolver esta vulnerabilidade.
A segunda vulnerabilidade, que poderia levar a um ataque de canal lateral, não recebeu um CVE.
“A AMD está ciente de um artigo intitulado ‘Ataques genéricos e automatizados de cache de GPU do navegador’ sendo publicado por pesquisadores da Universidade de Tecnologia de Graz e da Universidade de Rennes”, observa o comunicado de segurança, acrescentando: “A AMD não acredita que qualquer exploração contra produtos AMD seja demonstrada pelos pesquisadores.”
SAP e Cisco eliminam (e atualizam) falhas de segurança
A SAP contribuiu para o Patch Tuesday com uma dúzia de notas de segurança novas e atualizadas. Três são HotNews Notes – os avisos de segurança de maior gravidade da SAP – um dos quais descreve uma atualização recorrente para SAP Business Client, incluindo os mais recentes patches suportados do Chromium.
Hot News Note #3425274 corrige uma vulnerabilidade de injeção de código com classificação 9.4 em aplicativos criados com SAP Build Apps. E a Hot News Note #3433192 aborda uma vulnerabilidade de injeção de código com classificação 9.1 no SAP NetWeaver AS Java.
A Cisco atualizou hoje uma vulnerabilidade crítica anterior com classificação 9.1 na validação de autenticação de solicitação para a API REST do software Cisco SD-WAN vManage.
Divulgado pela primeira vez no ano passado, CVE-2023-20214 “pode permitir que um invasor remoto não autenticado obtenha permissões de leitura ou permissões de gravação limitadas para a configuração de uma instância Cisco SD-WAN vManage afetada”.
Disseram-nos que esta é a última atualização para corrigir essa falha.
O fornecedor de rede também atualizou hoje um comunicado Mach 6 sobre CVE-2024-20337, uma falha no processo de autenticação SAML do Cisco Secure Client. Isso poderia permitir que um invasor remoto não autenticado executasse um ataque de injeção de alimentação de linha de retorno de carro contra um usuário.
Além disso, há vários outros comunicados da Cisco publicados este mês, portanto, verifique-os também.
Android corrige dois bugs críticos
O Google no início deste mês corrigiu 38 falhas em seu boletim de segurança do Android de março. O mais grave é o CVE-2024-0039, um bug RCE crítico no componente System que não requer privilégios de execução adicionais, fomos informados.
Há outra vulnerabilidade de sistema com classificação crítica rastreada como CVE-2024-23717 que pode permitir elevação de privilégios.
Fortinet se junta à festa do patch
A Fortinet também lançou hoje cinco atualizações de segurança para corrigir falhas em vários de seus produtos.
Isso inclui uma vulnerabilidade crítica de gravação fora dos limites (CVE-2023-42789) e buffer overflow baseado em pilha (CVE-2023-42790) em várias versões do FortiOS e FortiProxy que poderia “permitir que um invasor interno que tenha acesso a portal cativo para executar códigos ou comandos arbitrários por meio de solicitações HTTP especialmente criadas”, de acordo com o comunicado de segurança do fornecedor. Os dois bugs receberam uma classificação CVSS de 9,3.
CVE-2023-48788, outra falha de injeção SQL com classificação 9,3 no FortiClient Enterprise Management Server (FortiClientEMS) pode permitir que um invasor não autenticado envie solicitações especialmente criadas e, em seguida, execute código não autorizado.
Um bug de alta gravidade com classificação 8,7 rastreado como CVE-2023-47534 também existe no FortiClientEMS. Isso se deve a uma neutralização inadequada de elementos de fórmula em um arquivo CSV em diversas versões deste software. Se explorado, poderia permitir que um invasor remoto e não autenticado “executasse comandos arbitrários na estação de trabalho do administrador por meio da criação de entradas de log maliciosas com solicitações elaboradas ao servidor”, observou Fortinet.
Uma vulnerabilidade de controle de acesso impróprio com classificação 7,7 rastreada como CVE-2023-36554 significa que o FortiWLM MEA para FortiManager também pode ser explorado por um invasor remoto não autenticado para executar comandos arbitrários.
Depois, há uma falha de desvio de autorização de alta gravidade em várias versões dos marcadores FortiOS e FortiProxy SSLVPN, que pode permitir que um invasor autenticado obtenha acesso aos marcadores de outro usuário por meio da manipulação de URL. É rastreado como CVE-2024-23112 e obteve uma classificação CVSS de 7,2.
Finalmente, CVE-2023-46717 é uma vulnerabilidade de autenticação inadequada com classificação 6,7 em várias versões do FortiOS que pode permitir escalonamento de privilégios. “O FortiOS, quando configurado com FortiAuthenticator em HA, pode permitir que um invasor autenticado com pelo menos permissão somente leitura obtenha acesso de leitura e gravação por meio de tentativas de login sucessivas”, explicou o fornecedor. ®
.
