.
Patch terça-feira Mais uma Patch Tuesday chegou, como de costume, com notícias desagradáveis de que há falhas e falhas de segurança urgentes a serem corrigidas.
A Microsoft emitiu correções para mais de 70 falhas que afetam vários componentes de seus produtos, incluindo Windows, Office e seu mecanismo Mark of the Web, Azure, Dynamics Business Central, SQL Server, Hyper-V e Remote Desktop Licensing Service.
Três já estão sendo explorados na natureza. Aqui estão eles em ordem decrescente de gravidade:
- CVE-2024-38014 – Um problema de CVSS 7,8 de 10 na gravidade do CVSS permitindo escalonamento de privilégios no Windows Installer que poderia dar privilégios totais de SISTEMA. Foi descoberto pelo SEC Consult Vulnerability Lab.
- CVE-2024-38226 – Uma falha de segurança do CVSS 7.4 no Publisher 2016, além do Office 2019 e 2021. Isso exige que a vítima abra um arquivo envenenado, mas, depois que isso é feito, o invasor pode ignorar as defesas de macro no Office.
- CVE-2024-38217 – Um problema do CVSS 5.4 permitindo que um criminoso ignore o mecanismo de identificação de software Mark of the Web da Microsoft. Há uma segunda falha do Mark of the Web abordada este mês – CVE-2024-43487 – que a Microsoft lista como provável de ser explorada e de preocupação moderada.
Depois, há o CVE-2024-43491, um acidente de carro que afeta apenas o Windows 10 versão 1507, lançado pela primeira vez em julho de 2015. Embora essa versão tenha perdido o suporte em 2017 para suas edições Pro, Home, Enterprise, Education e Enterprise IoT, o Windows 10 Enterprise 2015 LTSB e o Windows 10 IoT Enterprise 2015 continuam com suporte; todos são afetados.
Esse bug é classificado como 9,8 de 10 na gravidade do CVSS, pois, pelo que podemos perceber, ele fazia com que o sistema operacional desfizesse silenciosamente atualizações e patches de segurança aplicados anteriormente para determinados componentes opcionais, deixando-os abertos a ataques e outros problemas.
Isso se deve a um erro de programação desencadeado pela aplicação de atualizações de segurança lançadas entre março e agosto de 2024, inclusive, segundo nos disseram.
Parece que se você instalar uma atualização de segurança emitida entre esses dois meses no Windows 10 versão 1507 e, em seguida, aplicar atualizações ou patches de segurança lançados desde 12 de março, o sistema operacional fica muito confuso e reverte o software atualizado de volta para sua versão RTM base – lançamento para fabricação –, deixando o código sem patch e o computador em risco de ataque. De acordo com a Microsoft, essa reversão pode acontecer com os seguintes componentes opcionais:
- Serviços avançados do .NET Framework 4.6 ASP.NET 4.6
- Serviços de diretório leves do Active Directory
- Ferramentas Administrativas
- Internet Explorer 11
- Serviços de informação da InternetServiços da World Wide Web
- Serviço de impressão LPD
- Núcleo do servidor Microsoft Message Queue (MSMQ)
- Suporte HTTP MSMQ
- Conector MultiPoint
- Suporte para compartilhamento de arquivos SMB 1.0/CIFS
- Fax e Scanner do Windows
- Windows Media Player
- Pastas de trabalho do cliente
- Visualizador XPS
A Microsoft está tratando isso como um bug explorado na natureza, pois anteriormente emitiu patches para bugs explorados ativamente para esses componentes, e esses patches teriam sido removidos pelo bug.
“Começando com a atualização de segurança do Windows lançada em 12 de março de 2024 – KB5035858 (compilação do sistema operacional 10240.20526), os números da versão da compilação cruzaram um intervalo que acionou um defeito de código na pilha de manutenção do Windows 10 (versão 1507) que lida com a aplicabilidade de componentes opcionais”, como a Microsoft colocou tão claramente.
“Como resultado, qualquer componente opcional que foi atendido com atualizações lançadas desde 12 de março de 2024 (KB5035858) foi detectado como ‘não aplicável’ pela pilha de manutenção e foi revertido para sua versão RTM.”
Então isso significa que se você aplicou, digamos, a atualização de março de 2024, o sistema operacional já desfez as correções aplicadas anteriormente? Sim: “Se você instalou qualquer uma das atualizações de segurança anteriores lançadas entre março e agosto de 2024, as reversões das correções para CVEs que afetam [the] componentes opcionais já ocorreram. Para restaurar essas correções, os clientes precisam instalar a Atualização de Pilha de Serviços de setembro de 2024 e a Atualização de Segurança para o Windows 10.”
De fato, a Microsoft diz que as pessoas devem instalar tanto a atualização da pilha de manutenção KB5043936 quanto a atualização de segurança KB5043083, lançadas nesta Patch Tuesday, nessa ordem “para ficarem totalmente protegidas das vulnerabilidades que este CVE reverteu”. Usuários que aplicarem atualizações automaticamente já terão isso.
Há mais detalhes aqui, que alertam que isso pode danificar sistemas de inicialização dupla que executam Windows e Linux, e você deve verificar uma solução alternativa para isso.
Seguindo em frente…
Aqui estão os outros bugs corrigidos pela Microsoft esta semana.
O Azure é responsável por muitos dos piores bugs, incluindo três falhas de elevação de privilégios (CVE-2024-38216, CVE-2024-38220 e CVE-2024-38194, todas críticas) no Stack Hub usado para executar a plataforma local da Microsoft e os aplicativos Web do Azure.
O agente de VM do Network Watcher do Azure tem um par de bugs de escalonamento semelhantes (CVE-2024-38188 e CVE-2024-43470, ambos importantes) e um problema de código remoto (CVE-2024-43469, também importante) no orquestrador CycleCloud HPC da plataforma.
O SharePoint Server tem duas falhas críticas, CVE-2024-38018 e CVE-2024-43464, permitindo que invasores com permissões de Membro do Site e Proprietário do Site executem código remotamente. Há 30 falhas de elevação de privilégio para escolher na atualização deste mês que podem ser encadeadas com essas duas falhas e a Microsoft lista ambas as falhas críticas como “Exploração mais provável”.
Outra falha crítica, CVE-2024-38119, decorre de um bug de execução remota de código use-after-free na base de código do Windows Network Address Translation (NAT). Um invasor teria que estar dentro da rede para abusar disso e a Microsoft o lista como difícil de usar e menos provável de ser explorado.
Usuários do Windows 11 versão 21H2 ou 22H2 também devem lembrar que o próximo patch na terça-feira, 8 de outubro, verá o suporte para seus sistemas operacionais chegando ao fim para Home, Pro, Pro Education e Pro for Workstations. Se você estiver usando atualizações automáticas, será solicitado a atualizar no mês que vem.
Patches de baixa prioridade da Adobe
O Patch Tuesday não é só festa da Microsoft: a Adobe revelou 19 problemas críticos, 13 importantes e três classificados como gravidade moderada. O ColdFusion 2021 e 2023 são vulneráveis a um problema CVSS 9.8 sobre o uso de desserialização de dados não confiáveis que permitiria acesso arbitrário ao código.
A Adobe também lançou patches para as versões Windows e macOS do Photoshop, Acrobat e Reader, Illustrator, After Effects, Premiere Pro, ColdFusion, Media Encoder e Audition.
A Adobe classificou todos eles como Prioridade 3, sua classificação mais baixa, e relata que não há exploits em andamento.
Intel sugere acabar com seu RAID Web Console
Depois de lançar 43 alertas de segurança em agosto, a Intel entregou apenas quatro neste mês, dos quais apenas um é de alta gravidade.
Mas um desses avisos aborda 11 CVEs relacionados a “Potenciais vulnerabilidades de segurança no firmware UEFI [that] pode permitir escalada de privilégios, negação de serviço ou divulgação de informações”.
O CVES abrange uma lista muito extensa de chips móveis, de PC e de servidor mais antigos, incluindo processadores Atom, Core de 13ª geração e anteriores, e Xeon E5 v3 e plataformas anteriores.
Um patch também foi lançado para CVE-2024-24968, que permitiria ataques de negação de serviço contra a 13ª geração de processadores Intel Core (e kits anteriores) em hardware móvel, desktop e embarcado. Chips de servidor Xeon D e sistemas escaláveis de 3ª geração também são vulneráveis.
A interface Running Average Power Limit da Intel é vulnerável ao CVE-2024-23984, alerta a fabricante de chips, o que permitiria a divulgação de informações, embora apenas para um usuário privilegiado. O problema afeta chips e servidores Xeon D e escaláveis de terceira geração, estações de trabalho e sistemas embarcados.
Há também um aviso de que todo o software RAID Web Console é vulnerável a nove CVEs, mas a Intel não emitirá correções desde que o produto chegou ao fim de sua vida útil em março. Os clientes são aconselhados a parar de usar o software e excluí-lo de seus sistemas.
A SAP corrige e depois corrige novamente
A SAP emitiu 19 notas de segurança detalhando 16 novos patches e três atualizações para correções mais antigas.
Todos os novos patches de segurança são de gravidade média ou menor, com pontuações CVSS de seis ou menos.
A SAP deu a mais alta prioridade à correção de problemas anteriores. No topo da lista está o CVE-2024-41730, na BusinessObjects Business Intelligence Platform, que tem uma pontuação CVSS de 9,8, é a mais bem avaliada pela SAP e foi emitida no mês passado. O novo código estende a cobertura para a versão 420 do componente de software Enterprise e inclui detalhes para uma solução alternativa para aqueles que ainda não podem aplicar o patch.
A única nota de alta prioridade da SAP abrange CVE-2024-33003, uma vulnerabilidade de divulgação de informações na plataforma Commerce Cloud com um CVSS de 7.4 que também foi lançada em agosto. O software mais recente estende a cobertura de vulnerabilidade para a versão 2211.28 da plataforma.
CISA alerta administradores para verificar dois problemas do Citrix
A Citrix lançou correções de alta gravidade para duas falhas em seu aplicativo Workspace para Windows, afetando a versão atual anterior à versão 2405 e versões de longo prazo anteriores à 2402 LTSR CU1.
CVE-2024-7889 é uma falha de elevação de privilégio, classificada como CVSS 7.0, que permitiria que um usuário local se atualizasse para o status SYSTEM devido ao manuseio impróprio de recursos pelo código. CVE-2024-7890, classificada como CVSS 5.4, resolve o gerenciamento impróprio de privilégios que também poderia levar um invasor a obter acesso SYSTEM. Ambos os problemas exigem acesso local a uma máquina alvo.
“Um agente de ameaça cibernética pode explorar algumas dessas vulnerabilidades para assumir o controle de um sistema afetado”, alertou a agência de segurança dos EUA. “A CISA incentiva usuários e administradores a revisar o seguinte e aplicar a atualização necessária.”
Irritações Ivanti, de novo
A CISA também está alertando sobre problemas sérios no Ivanti Endpoint Manager 2022 e 2024, Cloud Service Application 4.6 e Workspace Control 10.18.0.0 e anteriores, meses após relatar que o negócio de software estava deixando as instalações químicas dos EUA vulneráveis com falhas de segurança anteriores.
Os problemas do Endpoint Manager são os mais graves, com 16 CVEs nomeados, incluindo um problema do CVSS 10.0 que permite a execução remota completa de código no EPM antes do SU6 de 2022, ou da atualização de setembro de 2024, devido ao portal da agência manipular incorretamente dados não confiáveis. Nove outros problemas críticos do CVSS 9.1 também são relatados, bem como dois problemas de alta prioridade (incluindo um problema de RCE) e uma falha média.
Há um CVE para todas as versões do Ivanti’s Cloud Service Application 4.6 antes do patch 519, permitindo que um invasor remoto execute código – mas somente se ele tiver privilégios de administrador. O Workspace Control tem seis CVEs de alta gravidade, todos os quais permitiriam que usuários autenticados localmente atualizassem seus privilégios de rede. ®
.
