.
Atualização de terça-feira A Microsoft lançou na terça-feira mais de 100 atualizações de segurança para corrigir falhas em seus produtos, incluindo dois bugs que já estão sob ataque ativo, além de abordar uma fraqueza do HTTP/2 que também foi explorada em liberdade.
Esse último – rastreado como CVE-2023-44487 também conhecido como Reinicialização rápida – é uma vulnerabilidade do protocolo HTTP/2 que tem sido abusada desde agosto para lançar ataques massivos de negação de serviço distribuído (DDoS). Microsoft, Amazonas, Googlee nuvemflare todas as mitigações lançadas para esses ataques de Rapid Reset que destroem o servidor.
Mas voltando aos CVEs específicos da Microsoft que estão listados como publicamente conhecidos e explorados. CVE-2023-36563 é um bug de divulgação de informações no Microsoft WordPad que pode ser explorado para roubar hashes NTLM.
Adeus WordPad, mal conhecíamos você
Existem duas maneiras de explorar isso, de acordo com a Microsoft. Uma maneira é fazer login como um usuário não autorizado ou comprometido e “depois executar um aplicativo especialmente criado que possa explorar a vulnerabilidade e assumir o controle de um sistema afetado”. A outra maneira é enganar a vítima para que abra um arquivo malicioso. “O invasor teria que convencer o usuário a clicar em um link, normalmente por meio de um e-mail ou mensagem instantânea, e então convencê-lo a abrir o arquivo especialmente criado”, explicou Redmond.
Além de aplicar a correção de software, Dustin Childs, da Zero Day Initiative, também sugere que os usuários bloqueiem NTLM de saída sobre SMB no Windows 11. “Este novo recurso não recebeu muita atenção, mas pode dificultar significativamente as explorações de retransmissão NTLM”, Crianças escreveu.
O segundo bug que está sob ataque, CVE-2023-41763é uma vulnerabilidade de escalonamento de privilégios no Skype for Business que pode permitir a divulgação de algumas informações.
“Um invasor pode fazer uma chamada de rede especialmente criada para o servidor alvo do Skype for Business, o que pode causar a análise de uma solicitação HTTP feita para um endereço arbitrário”, escreveu a Microsoft. Isso poderia permitir que o invasor visualizasse algumas informações confidenciais, incluindo endereços IP ou números de porta, mas não permitiria que o criminoso fizesse alterações nas informações divulgadas, fomos informados.
Dos novos patches de outubro, 13 abordam bugs de classificação crítica. Isso inclui 12 que levam à execução remota de código (RCE), além de ataques DDoS de redefinição rápida. O restante são consideradas falhas de segurança “importantes”.
Como aponta a ZDI, existem 20 patches do Message Queuing nesta atualização mais recente, e os mais bem avaliados – CVE-2023-35349 – obteve uma pontuação de gravidade CVSS de 9,8 em 10. O problema pode permitir o RCE e não requer interação do usuário para ser explorado.
“Você definitivamente deve verificar seus sistemas para ver se ele está instalado e também considerar bloquear a porta TCP 1801 em seu perímetro”, alertou Childs.
Outra falha interessante, CVE-2023-36434é um bug de elevação de privilégio do Windows IIS Server que obteve uma pontuação CVSS de 9,8 – mas apenas um rótulo de “importante” da Microsoft.
“A Microsoft não classifica isso como crítico, pois exigiria um ataque de força bruta, mas hoje em dia, os ataques de força bruta podem ser facilmente automatizados”, argumentou Childs, acrescentando que os usuários do IIS devem tratá-lo como crítico e corrigir o mais rápido possível.
CVE-2023-36778 também é um bug “importante” que deve ser tratado como crítico se sua organização executa o Exchange Server internamente. Este é um RCE do Microsoft Exchange Server que obteve uma classificação CVSS de 8,0 e um aviso de “exploração mais provável” de Redmond.
Um invasor deve ser autenticado e estar local na rede para explorar esse bug, mas – como disse Kev Breen, Diretor Sênior de Pesquisa de Ameaças do Immervice Labs Strong The One – isto é bastante fácil de conseguir através de ataques de engenharia social.
“Só porque o seu Exchange Server não possui autenticação voltada para a Internet, não significa que esteja protegido”, explicou Breen, acrescentando que esse nível de acesso ao Exchange Server pode permitir que um malfeitor “cause muitos danos a uma organização”.
Por exemplo: “Com a capacidade de obter acesso para ler todos os e-mails enviados e recebidos, ou mesmo para se passar por qualquer usuário, isso pode ser vantajoso para criminosos com motivação financeira, onde os ataques de comprometimento de e-mail comercial não são mais provenientes de contas falsificadas, mas do titular legítimo do e-mail”, alertou Breen.
Citrix e outros participam da festa do patch
Citrix juntou-se à festa do patch de outubro com uma falha crítica de classificação 9,4 em seus dispositivos NetScaler ADC e NetScaler Gateway. Este, rastreado como CVE-2023-4966, poderia permitir a divulgação de informações confidenciais em dispositivos de segurança vulneráveis. A exploração não requer nenhuma interação do usuário ou privilégios, por isso sugerimos a correção o mais rápido possível.
Um bug de negação de serviço, CVE-2023-4967, também afetou esses mesmos dispositivos Citrix e recebeu uma classificação CVSS de 8,2.
A Adobe lançou três boletins de segurança para atualizar um total de 13 vulnerabilidades no Bridge, Commerce e Photoshop. A fabricante do software diz que não tem conhecimento de explorações para nenhuma dessas falhas.
Começando com Photoshopa Adobe corrigiu um bug crítico – rastreado como CVE-2023-26370 – que poderia levar à execução arbitrária de código.
A atualização para ComércioEnquanto isso, corrige dez vulnerabilidades críticas e importantes que podem levar à execução arbitrária de código, escalonamento de privilégios, leitura arbitrária do sistema de arquivos, desvio de recursos de segurança e negação de serviço de aplicativos.
Por fim, a Adobe também corrigiu duas vulnerabilidades importantes em Ponte isso pode levar ao vazamento de memória.
SAP hoje lançado sete notas de segurança e duas atualizações de notas lançadas anteriormente.
Uma dessas vulnerabilidades obteve uma pontuação CVSS perfeita de 10: Nota 2622660, uma atualização contínua que inclui os patches mais recentes do Chromium suportados.
A SAP classificou o restante como patches de prioridade média.
Outubro do Google Boletim de segurança do Android foi lançado no início deste mês e, como observamos em um artigo anterioralertou sobre “indicações” de que um bug do driver Arm, bem como uma falha crítica do sistema, CVE-2023-4863, poderia levar ao RCE “sob exploração limitada e direcionada”.
No total, o Google corrigiu 54 falhas na atualização do Android deste mês. ®
.
