.
Atualização de terça-feira Atenção: o patch de terça-feira de novembro da Microsoft inclui correções para cerca de 60 vulnerabilidades – incluindo três que já foram encontradas e abusadas na natureza.
O primeiro desse trio é CVE-2023-36033: uma vulnerabilidade de elevação de privilégio da biblioteca principal do Windows Desktop Manager (WDM). Este, um bug “importante” com classificação CVSS de 7,8 de 10, não está apenas listado como explorado por malfeitores, o método de exploração também foi divulgado publicamente.
“Um invasor que explorar com sucesso esta vulnerabilidade poderá obter privilégios de SYSTEM”, de acordo com Redmond. Isso significa que softwares e usuários desonestos em uma caixa Windows vulnerável podem assumir o controle de tudo com essa falha. Esperamos ouvir mais sobre quem está abusando desse buraco e quão difundidos serão os ataques no futuro próximo.
Outra vulnerabilidade de escalonamento de privilégios que já foi explorada, CVE-2023-36036, afeta o Windows Cloud Files Mini Filter Driver e também pode levar a privilégios de SYSTEM. Ele também recebeu uma classificação CVSS de 7,8.
“Este driver é usado para gerenciar e facilitar as operações de arquivos armazenados na nuvem. Ele é carregado por padrão em quase todas as versões do Windows, portanto fornece uma ampla superfície de ataque”, explicou Dustin Childs, da Zero Day Initiative.
Ele alerta que ambas as falhas provavelmente estão associadas a um bug de execução de código nos ataques que a Microsoft observou. Ou seja, um malfeitor normalmente encontraria uma maneira de obter execução arbitrária em nível de usuário na máquina de um alvo e então usaria uma das falhas acima para obter controle em nível de administrador de sistema.
“Definitivamente, teste e implante esta atualização rapidamente”, acrescentou Childs.
A terceira vulnerabilidade que foi explorada antes que a Microsoft pudesse lançar um patch, CVE-2023-36025, permite que criminosos contornem os recursos de segurança do Windows Defender SmartScreen – o recurso anti-phishing e anti-malware de Redmond.
“Suspeito que isso esteja sendo usado por uma campanha de phishing para evitar solicitações de usuários que impediriam – ou pelo menos alertariam sobre – a abertura de um documento malicioso”, disse Childs.
Conhecido publicamente, mas não explorado… ainda
Duas outras falhas são listadas como conhecidas publicamente. CVE-2023-36038 é uma vulnerabilidade de negação de serviço do ASP.NET Core que pode levar à perda total de disponibilidade.
E CVE-2023-36413, uma falha de desvio de recurso de segurança do Microsoft Office, pode ser explorada se um invasor convencer alguém a abrir um arquivo malicioso – o que todos sabemos que não é muito difícil de fazer. Isso, por sua vez, “permitiria que um invasor contornasse o Office Protected View e abrisse no modo de edição em vez do modo protegido”, de acordo com Redmond. Está listado como “exploração mais provável”.
Dos três bugs com classificação crítica divulgados este mês, CVE-2023-36397 é a falha com classificação mais alta de Redmond – ganhando uma pontuação de 9,8, que Childs diz “merece”. É um bug de execução remota de código (RCE) no Windows Pragmatic General Multicast (PGM) que permitiria que um invasor remoto e não autenticado executasse código malicioso em sistemas vulneráveis com privilégios elevados.
“A boa notícia aqui é que isso só é verdade para sistemas onde o serviço de enfileiramento de mensagens do Windows está sendo executado em um ambiente PGM Server”, de acordo com Childs. “Não deveria haver muitos deles por aí, mas se você é um deles, definitivamente teste e aplique esta atualização rapidamente.”
A própria Microsoft observou: “O serviço de enfileiramento de mensagens do Windows, que é um componente do Windows, precisa ser habilitado para que um sistema possa ser explorado por esta vulnerabilidade… Quando o serviço de enfileiramento de mensagens do Windows está sendo executado em um ambiente de servidor PGM, um invasor pode enviar um arquivo especialmente criado na rede para realizar a execução remota de código e tentar acionar código malicioso.”
Falha da CLI do Azure vaza credenciais
Os outros dois problemas de segurança com classificação crítica são CVE-2023-36052, uma vulnerabilidade de divulgação de informações do Comando REST da Interface de Linha de Comando do Azure, e CVE-2023-36400, uma falha de elevação de privilégio de derivação de chave HMAC do Windows.
O bug do Azure CLI recebeu seu próprio artigo da Microsoft depois de ser descoberto e divulgado pelo pesquisador da Palo Alto Networks, Aviad Hahami.
Este problema, que poderia ser explorado para divulgar credenciais entre outras informações confidenciais, levou Redmond a fazer “várias alterações em diferentes produtos, incluindo Azure Pipelines, GitHub Actions e Azure CLI, para implementar uma redação secreta mais robusta” – e, esperançosamente, evitar esses produtos vazem segredos.
Estranhamente, há outro bug RCE com classificação 9,8 – CVE-2023-36028 – mas a Microsoft considera isso importante, não crítico. É uma falha no Microsoft Protected Extensible Authentication Protocol (PEAP), que é usado para autenticação segura em redes sem fio.
Redmond o lista como menos provável de ser explorado, e isso provavelmente se deve à complexidade do problema e à baixa frequência de implantação do PEAP, de acordo com Natalie Silva, engenheira-chefe de conteúdo de segurança do Immersive Lab.
“Esta vulnerabilidade pode ser explorada por um invasor não autenticado visando um servidor Microsoft PEAP, transmitindo pacotes PEAP maliciosos especialmente criados através da rede”, disse Silva. Strong The One.
Se a exploração for bem sucedida, os criminosos poderão “executar código no servidor PEAP alvo”, acrescentou Silva. “O efeito secundário pode ser o acesso não autorizado aos dados, a manipulação de dados ou quaisquer outras ações maliciosas”.
Adobe corrige 76 bugs
A Adobe corrigiu 76 vulnerabilidades em seus produtos Acrobat e Reader, InDesign, InCopy, Photoshop, ColdFusion, Audition, Premiere Pro, After Effects, Media Encoder, Dimension, Animate, Bridge, RoboHelp Server e FrameMaker Publishing Server – embora nenhum dos bugs foram encontrados ou explorados por malfeitores.
Começando com as 17 falhas no Acrobat e no Reader: nove delas são críticas e podem ser exploradas para execução arbitrária de código e verificação de vazamento de memória, enquanto seis no Photoshop podem causar os mesmos problemas.
A Adobe corrigiu seis bugs do ColdFusion, o mais grave dos quais poderia levar à execução arbitrária de código e ao desvio de recursos de segurança.
Cinco CVEs no RoboHelp Server podem levar à execução arbitrária de código e vazamento de memória no contexto do usuário atual.
Sete vulnerabilidades no InDesign podem permitir negação de serviço de aplicativos e vazamento de memória, e três no Bridge também podem permitir vazamento de memória. Uma vulnerabilidade crítica no InCopy pode levar à execução arbitrária de código.
Uma única falha no Animate e outra no Dimension poderia permitir vazamento de memória.
Cinco CVEs no Media Encoder levam à execução arbitrária de código e vazamento de memória. Enquanto isso, nove no Audition, seis bugs no Premiere Pro e oito CVEs no After Effects permitem os mesmos problemas.
Finalmente, um único bug crítico no FrameMaker Publishing Server poderia ser explorado para contornar recursos de segurança. Ufa.
VMware corrige uma falha crítica
A VMware entrou na festa de patch deste mês com uma vulnerabilidade crítica de desvio de autenticação – rastreada como CVE-2023-34060, afetando dispositivos Cloud Director.
Ele recebeu uma pontuação CVSS de 9,8 e afeta apenas implantações que foram atualizadas para 10,5 a partir de uma versão mais antiga.
“Em uma versão atualizada do VMware Cloud Director Appliance 10.5, um agente mal-intencionado com acesso de rede ao dispositivo pode ignorar as restrições de login ao autenticar na porta 22 (ssh) ou na porta 5480 (console de gerenciamento do dispositivo). Esse desvio não está presente na porta 443 (Login do provedor de VCD e do locatário). Em uma nova instalação do VMware Cloud Director Appliance 10.5, o bypass não está presente”, relata o negócio de virtualização.
Mês leve para SAP
As correções de novembro da SAP incluem três novas notas de segurança, além de três atualizações de notas relacionadas anteriormente [PDF]. Uma das novas notas corrige um bug crítico de controle de acesso impróprio no Business One, rastreado como CVE-2023-31403. Ele obteve uma classificação CVSS de 9,6.
E… Android e todos os outros
Enquanto isso, a Intel emitiu 31 atualizações de segurança em 14 de novembro e a AMD fez cinco anúncios.
E encerrando os patches de novembro (ou, mais precisamente, começando), o Google lançou seu boletim de segurança do Android no início deste mês, com o problema mais crítico ocorrendo no componente do sistema operacional móvel. De acordo com o Google, isso poderia levar à divulgação de informações locais sem a necessidade de privilégios de execução adicionais. ®
.
