.
A Microsoft corrigiu 97 falhas de segurança hoje para o Patch Tuesday de abril, incluindo uma que já foi encontrada e explorada por malfeitores que tentavam implantar o ransomware Nokoyawa.
Redmond considerou sete das vulnerabilidades agora corrigidas “críticas” e o restante “importante”.
E enquanto a Microsoft, como de costume, não revelou como os ataques generalizados contra CVE-2023-28252um bug de elevação de privilégio no driver CLFS (Common Log File System) do Windows, pode ser, o pessoal da infosec diz que detectou tentativas de implantar o ransomware Nokoyawa por meio dessa falha de segurança.
Como a Microsoft alertou: “Um invasor que explorou com sucesso esta vulnerabilidade pode obter privilégios de SISTEMA”. E de acordo com a Kaspersky, uma equipe de cibercriminosos está tentando usar essa vulnerabilidade para espalhar ransomware entre alvos em varejo e atacado, energia, manufatura, saúde, desenvolvimento de software e outros. Isso é semelhante para outro bug de elevação de privilégio que a Microsoft corrigiu em fevereiro.
“Para mim, isso implica que a correção original foi insuficiente e os invasores encontraram um método para contornar essa correção”, disse Dustin Childs, da Zero Day Initiative. disse.
Todos os sete bugs classificados como críticos são vulnerabilidades de execução remota de código (RCE), portanto, embora a Microsoft não tenha detectado nenhum exploit in-the-wild para esses – ainda – criminosos podem usá-los para causar sérios estragos. Particularmente porque o Exploit Wednesday segue rapidamente após o patch Tuesday.
Um, em particular, CVE-2023-21554, é um RCE que afeta servidores com o serviço de enfileiramento de mensagens da Microsoft ativado. Ele recebeu uma classificação de gravidade CVSS de 9,8 em 10, e Redmond o rotula como “mais provável de exploração”. Embora o serviço esteja desabilitado por padrão, Childs diz que é comumente usado por aplicativos de contact center. “Ele escuta a porta TCP 1801 por padrão, portanto, bloqueá-la no perímetro impediria ataques externos”, explicou ele.
Além disso, um par de RCEs de protocolo de encapsulamento de camada crítica, CVE-2023-28220 e CVE-2023-28219que afetam os Servidores de Acesso Remoto do Windows (RAS) também são marcados como “exploração mais provável”.
“Um invasor não autenticado pode enviar uma solicitação de conexão especialmente criada para um servidor RAS, o que pode levar à execução remota de código (RCE) na máquina do servidor RAS”, observou Redmond.
De acordo com o diretor de pesquisa de ameaças cibernéticas da Immersive Labs, Kev Breen, embora os servidores RAS não sejam padrão nas organizações, eles geralmente têm acesso direto da Internet.
“Isso torna extremamente atraente para os invasores, pois eles não precisam fazer engenharia social para entrar em uma organização”, disse Breen Strong The One. “Eles podem simplesmente escanear a Internet em busca de servidores RAS e automatizar a exploração de dispositivos vulneráveis.”
Em outras palavras, se você usa esses serviços, corrija rapidamente.
Adobe aborda 56 CVEs
A Adobe, enquanto isso, lançou seis boletins para 56 CVEs em Acrobat e Reader, Adobe Digital Editions, InCopy, Substance 3D Designer, Substance 3D Stager e Adobe Dimension.
O Leitor o boletim de segurança corrige 16 CVEs, 14 são RCEs críticos, e a exploração bem-sucedida pode levar à execução arbitrária de código, escalonamento de privilégios, desvio de recurso de segurança e vazamento de memória.
Um remendo para Edição digital conecta um bug crítico de execução de código e o boletim para InCopy também corrige uma única falha crítica de execução de código.
O alerta para Designer 3D de substância corrige nove bugs críticos, enquanto a atualização para Substance Stager 3D aborda 14 CVEs, dos quais 10 são críticos.
E finalmente Adobe Dimension corrige 15 falhas, das quais 14 podem levar à execução arbitrária de código e a outra pode resultar em vazamento de memória.
Nenhuma das falhas da Adobe está listada como conhecida publicamente ou sob ataque ativo.
SAP emite 19 Notas de Segurança
O Security Patch Day de abril da SAP incluiu 19 novas notas de segurança [PDF]. Isso inclui a nota nº 3305369, que recebeu a pontuação CVSS máxima de 10, e corrige duas falhas no SAP Diagnostics Agent (OSCommand Bridge e EventLogServiceCollector).
O Onapsis Research Labs (ORL) detectou esses dois e diz que eles podem permitir que um usuário não autenticado execute scripts em Diagnostics Agents conectados ao SAP SolutionManager. “Em conjunto com a validação de entrada insuficiente, os invasores foram capazes de executar comandos maliciosos em todos os sistemas SAP monitorados, impactando fortemente sua confidencialidade, integridade e disponibilidade”, disse o pesquisador Thomas Fritsch disse.
Google corrige problemas de software no Chrome e no sistema operacional Android
O Google fez várias correções de segurança no sistema operacional Android e no Chrome este mês. Isso inclui dois bugs críticos no componente do sistema Android “que podem levar à execução remota (proximal/adjacente) de código sem a necessidade de privilégios de execução adicionais”, de acordo com o relatório de abril Boletim de segurança do Android.
Além disso, nenhuma interação do usuário é necessária para explorar esse bug.
“Dependendo dos privilégios associados ao usuário, um invasor pode instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário”, o Center for Internet Security avisou em seu comunicado sobre as falhas do Android.
Enquanto isso, o Atualização do Chrome inclui 16 correções de segurança, das quais a mais severa pode permitir a execução de código arbitrário.
Mas espere, tem mais… AMD tem endereçado o problema médio CVE-2023-1018 (leitura fora dos limites) e o CVE-2023-1017 (gravação fora dos limites) de alta gravidade em sua biblioteca de módulos TPM 2.0. Isso afeta os processadores Threadripper de segunda geração. Os usuários são aconselhados a atualizar seu BIOS para fechar os buracos, que podem ser explorados para ler dados confidenciais no TPM ou executar código em seu contexto. O que não é ótimo.
Cisco encerra a festa do patch
E, finalmente, a Cisco juntou-se à festa do patch este mês com 17 alertas de segurança novos e atualizados abordando 40 falhas.
Apenas um desses alertas está marcado críticoe corrige duas vulnerabilidades na API e na interface de gerenciamento baseada na Web do Cisco Expressway Series e do Cisco TelePresence Video Communication Server (VCS) que o fornecedor divulgou pela primeira vez em julho de 2022. Se explorados, os bugs “poderiam permitir que um invasor remoto para sobrescrever arquivos arbitrários ou realizar ataques de envenenamento de bytes nulos em um dispositivo afetado”, observou o gigante da rede.
A Cisco lançou atualizações de software que corrigem ambas as falhas e diz que não há soluções alternativas. ®
.
