.
Atualização de terça-feira O Patch Tuesday de março da Microsoft inclui novas correções para 74 bugs, dois dos quais já estão sendo explorados ativamente e nove que são classificados como críticos. Vamos começar com os dois que os criminosos encontraram antes de Redmond emitir uma correção.
Primeiro: priorize o patch CVE-2023-23397, um bug de elevação de privilégio no Microsoft Outlook que recebeu uma classificação CVSS de 9,8 de 10. Embora os detalhes do buraco não tenham sido divulgados publicamente, ele já foi explorado em estado selvagem, e a Microsoft lista sua complexidade de ataque como “baixa”.
Redmond está suficientemente preocupado com este para ter Publicados um guia para o bug e forneceu documentação e um script para determinar se sua empresa foi alvo de criminosos que tentam explorar essa vulnerabilidade. Em outras palavras: é sério.
O CVE permite que um invasor remoto e não autenticado acesse o hash Net-NTLMv2 da vítima enviando um e-mail personalizado para um sistema comprometido e, em seguida, use o hash para autenticar o invasor.
“O invasor pode explorar essa vulnerabilidade enviando um e-mail especialmente criado que é acionado automaticamente quando é recuperado e processado pelo cliente Outlook”, explicou a Microsoft. “Isso pode levar à exploração ANTES de o e-mail ser visualizado no painel de visualização.”
Embora a Microsoft não forneça detalhes sobre que tipo de ações nefastas os invasores estão fazendo depois de explorar o bug – ou como os ataques são generalizados – Dustin Childs da Zero Day Initiative aconselha: “definitivamente teste e implemente esta correção rapidamente.”
Mais um bug de desvio do MotW
O segundo bug sob exploração ativa é conhecido publicamente e está relacionado a uma vulnerabilidade semelhante, CVE-2022-44698que a Microsoft fixo em dezembro de 2022.
Esta nova vulnerabilidade, CVE-2023-24880 é um bug de desvio do recurso de segurança do Windows SmartScreen e permite que os invasores criem arquivos maliciosos que podem ignorar os recursos de segurança Mark-of-the-Web. Embora tenha apenas uma classificação de 5,4/10, já está sendo explorado por criminosos que exigem pagamentos de resgate. Lembre-se, caro leitor: CVSS é apenas um número e não indica riscos do mundo real.
O Threat Analysis Group (TAG) do Google detectou esse problema primeiro e disse que está sendo usado para entregar Magniber ransomware. A equipe TAG documentou mais de 100.000 downloads até o momento, principalmente na Europa, portanto, embora essa vulnerabilidade tenha recebido apenas um CVSS 5.4, a menos que você queira lidar com sistemas criptografados e extorsão, corrija agora.
Um CVE crítico abaixo, faltam oito
Das outras vulnerabilidades com classificação crítica: sugerimos correção CVE-2023-23392, um bug de execução remota de código (RCE) de pilha de protocolo HTTP com classificação CVSS 9.8, a seguir. Afeta o Windows 11 e o Windows Server 2022.
Um invasor remoto e não autenticado pode explorar essa vulnerabilidade enviando um pacote especialmente criado para um servidor de destino que usa o HTTP Protocol Stack (http.sys), de acordo com a Microsoft. O malfeitor poderia então executar o código no nível do SISTEMA sem qualquer interação do usuário.
“Essa combinação torna esse bug vermífugo – pelo menos por meio de sistemas que atendem aos requisitos de destino”, observou Childs.
CVE-2023-23415 é outro bug RCE crítico com classificação de 9,8 que, de acordo com Childs, também é potencialmente vermífugo. É o resultado de uma falha no Internet Control Message Protocol (ICMP).
“Um invasor pode enviar um erro de protocolo de baixo nível contendo um pacote IP fragmentado dentro de outro pacote ICMP em seu cabeçalho para a máquina de destino”, explicou a Microsoft. “Para acionar o caminho de código vulnerável, um aplicativo no destino deve estar vinculado a um soquete bruto.”
Dos CVEs críticos restantes, CVE-2023-21708, CVE-2023-23404 e CVE-2023-23416 pode resultar em execução remota de código.
CVE-2023-23411 é uma vulnerabilidade de negação de serviço no hipervisor Windows Hyper-V, que a Microsoft diz que pode “afetar a funcionalidade do host Hyper-V”.
Os dois bugs críticos finais, CVE-2023-1017 e CVE-2023-1018são um par de falhas de leitura e gravação fora dos limites no código de implementação de referência do Trusted Platform Module 2.0 que agora estão sendo corrigidos em produtos da Microsoft.
Bug da Fortinet usado para atacar redes governamentais
Também neste mês, a Fortinet correções lançadas por 15 falhas. Daqueles CVE-2022-41328 é uma vulnerabilidade de caminho transversal no FortiOS e foi explorada para atingir agências governamentais e grandes organizações.
“Uma limitação imprópria de um nome de caminho para uma vulnerabilidade de diretório restrito (‘path traversal’) [CWE-22] no FortiOS pode permitir que um invasor privilegiado leia e grave arquivos arbitrários por meio de comandos CLI criados”, disse a Fortinet em um assessoria de segurança emitido no início deste mês.
Dias depois, a Fortinet emitiu um análise que afirma que criminosos estavam usando a falha em uma tentativa de atacar grandes organizações e roubar seus dados e causar corrupção de sistema operacional ou arquivo.
“A complexidade da exploração sugere um ator avançado e altamente direcionado a alvos governamentais ou relacionados ao governo”, disse a análise.
Adobe corrige 105 bugs
A festa de patch mensal da Adobe incluiu correções para 105 vulnerabilidades em seus produtos Photoshop, Experience Manager, Dimension, Commerce, Substance 3D Stager, Cloud Desktop Application e Illustrator.
O fabricante do software diz que não tem conhecimento de nenhum desses problemas de segurança sendo explorados na natureza.
da Adobe Dimensão A ferramenta de design e renderização 3D obteve a maior pontuação (58) CVEs, com a exploração possivelmente causando vazamento de memória e execução arbitrária de código.
A atualização para Gerente de experiência corrige 18 bugs que podem resultar em execução arbitrária de código, escalonamento de privilégios e bypass de recursos de segurança.
O Substance Stager 3D patch aborda 16 vulnerabilidades, novamente possíveis vetores para execução de código arbitrário e problemas de vazamento de memória.
Atualizações para photoshop (um CVE) e ilustrador (cinco CVEs) também tapam buracos que podem levar – você adivinhou – à execução remota de código.
Finalmente, um Fusão a frio atualização corrige três bugs, incluindo uma vulnerabilidade crítica de execução de código e um patch para Creative Cloud corrige um bug crítico de execução de código.
SAP emite 21 patches
SEIVA lançado 21 patches de segurança novos e atualizados, incluindo dois bugs com classificação 9,9.
CVE-2023-25616 é uma vulnerabilidade de injeção de código na plataforma SAP Business Objects Business Intelligence que pode permitir que um invasor injete código arbitrário.
CVE-2023-23857 é um bug de controle de acesso impróprio no SAP NetWeaver AS para Java versão 7.50.
Outra correção SAP aborda a classificação 9.0 CVE-2023-25617. Embora isso seja menos perigoso do que outros patches SAP este mês, “isso não significa que seja menos crítico”, de acordo com Thomas Fritsch, pesquisador de segurança SAP da Onapsis.
“A classificação CSS mais baixa se deve ao fato de que uma exploração bem-sucedida requer interação com outro usuário”, Fritsch escreveu.
O patch corrige uma vulnerabilidade de execução de comando do SO no Business Objects Adaptive Job Server da SAP. Se explorado, pode permitir a execução de comandos arbitrários do sistema operacional pela rede.
Android corrige RCE sem toque
Boletim de segurança do Android do Google endereçado 60 falhas este mês, incluindo dois erros RCE críticos no componente do sistema: CVE-2023-20951 e CVE-2023-20954.
“O mais grave desses problemas é uma vulnerabilidade de segurança crítica no componente do sistema que pode levar à execução remota de código sem a necessidade de privilégios de execução adicionais”, alertou o boletim infosec do Android. “A interação do usuário não é necessária para a exploração.”
Chrome esmaga 40 falhas
E, finalmente, o Google fixo 40 falhas em seu navegador Chrome, a mais grave das quais pode permitir a execução arbitrária de código no contexto do usuário.
Dependendo dos privilégios associados ao usuário, um invasor pode instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com plenos direitos de usuário”, de acordo com o Centro de Segurança na Internet. “Usuários cujas contas são configuradas para ter menos direitos de usuário no sistema podem ser menos afetados do que aqueles que operam com direitos de usuário administrativo”. ®
.
