.
Atualização de terça-feira Para o último Patch Tuesday do ano, a Microsoft corrigiu um bug que já foi explorado por aí – e outro que é conhecido publicamente.
Isso eleva o total de dezembro para 49 vulnerabilidades corrigidas, seis das quais são classificadas como críticas.
O bug listado como explorado na natureza é rastreado como CVE-2022-44698. É uma vulnerabilidade de desvio do recurso de segurança do Windows SmartScreen e recebeu uma classificação CVSS de 5,4.
“Um invasor pode criar um arquivo malicioso que evitaria as defesas do Mark of the Web (MOTW), resultando em uma perda limitada de integridade e disponibilidade de recursos de segurança, como o Protected View no Microsoft Office, que depende da marcação MOTW”, explicou Redmond em atualização de segurança de hoje.
O guru da segurança, Will Dormann, é creditado por relatar esse bug em particular e foi twittando sobre esses tipos de falhas desde julho. Provavelmente está relacionado com outro erro MOTW que a Microsoft corrigiu no mês passado.
Uma segunda vulnerabilidade, CVE-2022-44710embora não esteja sob exploração ativa (pelo menos não que saibamos) está listado como conhecido publicamente, embora a Microsoft o tenha descrito como “exploração menos provável”.
É uma falha de elevação de privilégio do DirectX Graphics Kernel e recebeu uma classificação CVSS de 7,8. A exploração bem-sucedida exige que um invasor vença uma condição de corrida – embora, como de costume, Redmond não tenha elaborado sobre o que é essa condição de corrida. No entanto, supondo que um malfeitor tenha vencido a referida condição de corrida, ele pode obter privilégios de sistema, então sugerimos levar esse bug a sério.
Dos seis bugs críticos, sugerimos corrigir primeiro, CVE-2022-41076, uma vulnerabilidade de execução remota de código (RCE) do PowerShell. Segundo a Microsoft, a exploração é “mais provável”. Ele pode permitir que um usuário autenticado escape da configuração de sessão remota do PowerShell e execute comandos não aprovados no sistema infectado.
“Atores de ameaças geralmente tentam ‘viver da terra’ após uma violação inicial – o que significa que eles usam ferramentas já existentes em um sistema para manter o acesso e se mover por uma rede”, explicou Dustin Childs da Zero Day Initiative. “O PowerShell é uma dessas ferramentas, portanto, qualquer bug que contorne as restrições provavelmente será abusado por intrusos. Definitivamente, não ignore este patch.”
Duas outras falhas com classificação crítica, CVE-2022-44690 e CVE-2022-44693são um par de RCEs do servidor SharePoint.
Kev Breen, diretor de pesquisa de ameaças cibernéticas da Immersive Labs, disse Strong The One que corrigir isso “deve estar no topo da lista para qualquer pessoa que use o SharePoint internamente”.
“Os invasores podem explorar essa vulnerabilidade para roubar informações confidenciais para usar em ataques de ransomware, substituir documentos por novas versões que contenham código malicioso ou criar macros para infectar outros sistemas”, explicou.
Dos outros três RCEs críticos, um (CVE-2022-41127) afeta o Microsoft Dynamics e dois outros, (CVE-2022-44670) e (CVE-2022-44676), afetam o protocolo Windows Secure Socket Tunneling.
Adobe corrige 37 CVEs
Também em seu último Patch Tuesday de 2022, a Adobe lançou três patches que corrigem 37 falhas em ilustrador, Gerente de experiência e Campanha Clássica. Nenhum dos bugs está listado como explorado ou conhecido publicamente.
As atualizações de segurança para o Campaign Classic tratam de uma vulnerabilidade importante que pode resultar em escalonamento de privilégios. As correções para o Experience Manager resolvem falhas classificadas como importantes e moderadas que podem resultar na execução arbitrária de códigos e desvio de recursos de segurança. E, finalmente, os patches do Illustrator corrigem bugs importantes que podem levar ao vazamento de memória.
SAP lança 22 patches novos e atualizados
SAP hoje lançado 22 patches novos e atualizados, incluindo cinco notas de notícias quentes e cinco notas de alta prioridade.
A nota de segurança 2622660 mais grave, que recebeu uma pontuação CVSS de 10 em 10, é uma atualização para um patch de abril de 2018 que corrige o Google Chromium fornecido com o SAP Business Client.
Dos patches recém-lançados, as notas de segurança 3273480 (pontuação CVSS de 9,9) e 3267780 (pontuação CVSS de 9,4) tratam de duas vulnerabilidades críticas no SAP NetWeaver Process Integration (PI).
“O ORL detectou que o sistema de mensagens e a pesquisa definida pelo usuário no SAP PI expõem serviços por meio do protocolo P4 que não requerem autenticação do usuário, permitindo que invasores façam uso de uma API aberta de nomenclatura e diretório para acessar serviços para executar operações não autorizadas”, explicou Thomas Fritsch, pesquisador de segurança SAP da Onapsis.
Além disso, a Nota de segurança 3239475 corrige uma vulnerabilidade crítica de falsificação de solicitação do lado do servidor com classificação 9,9 no SAP BusinessObjects Business Intelligence Platform.
“Invasores com ‘privilégios normais de usuário de BI’ podem carregar e substituir qualquer arquivo no servidor Business Objects no nível do sistema operacional, permitindo que os invasores assumam o controle total do sistema e tenham um impacto significativo na confidencialidade, integridade e disponibilidade de o aplicativo”, de acordo com Fritsch.
VMware corrige bugs críticos
Também hoje, a VMware publicado dois avisos críticos de segurança junto com outro considerado importante.
CVE-2022-31705 é uma vulnerabilidade crítica de gravação fora dos limites do heap no VMware ESXi, Workstation e Fusion. Ele recebeu uma pontuação CVSS máxima de 9,3 em alguns dos produtos com bugs e pode permitir que um invasor com privilégios de administrador local execute o código como o processo VMX da máquina virtual em execução no host.
“No ESXi, a exploração está contida na caixa de proteção VMX, enquanto no Workstation e no Fusion, isso pode levar à execução de código na máquina onde o Workstation ou o Fusion está instalado”, de acordo com a VMware.
O outro bug crítico é uma vulnerabilidade de injeção de comando com classificação 9,8 rastreada como CVE-2022-31702 no VMware vRealize Network Insight. “Um ator mal-intencionado com acesso à rede para a vRNI REST API pode executar comandos sem autenticação”, observou o gigante da virtualização.
Enquanto isso, a importante atualização de segurança endereços duas vulnerabilidades (CVE-2022-31700, CVE-2022-31701) no VMware Workspace ONE Access e no Identity Manager com uma pontuação CVSS de 7,2. O CVE-2022-31700 é uma vulnerabilidade RCE autenticada com uma pontuação CVSS de 7,2, enquanto o CVE-2022-31701 é um bug de autenticação quebrado que recebeu uma classificação de gravidade de 5,3.
Há uma exploração PoC para este bug Cisco não corrigido
A Cisco emitiu atualizações de segurança para algumas vulnerabilidades de alta gravidade este mês, incluindo um patch lançado hoje que preenche uma lacuna de classificação 7.1 na interface de gerenciamento baseada na Web do Cisco Identity Services Engine (ISE). É rastreado como CVE-2022-20822e pode permitir que um invasor autenticado liste, baixe e exclua arquivos em um dispositivo infectado.
O segundo, um bug de estouro de pilha no recurso de processamento do Discovery Protocol do firmware do Cisco IP Phone 7800 e 8800 Series, não será corrigido até janeiro. É rastreado como CVE-2022-20968 e recebeu uma pontuação de gravidade de 8,1.
É especialmente preocupante porque, como a Cisco alertou, o código de exploração de prova de conceito já está disponível para esse bug. Embora a equipe de resposta de segurança da gigante das redes diga que “não está ciente de qualquer uso malicioso da vulnerabilidade”, além de nenhum patch, também não há soluções alternativas. Sugerimos rezar por um milagre de Natal.
E o resto
A Citrix também lançou atualizações para corrigir uma falha RCE “crítica” (CVE-2022-27518) no Citrix ADA e Gateway que já foi encontrado e explorado por criminosos.
“Estamos cientes de um pequeno número de ataques direcionados na natureza usando essa vulnerabilidade”, observou o fornecedor em um comunicado. blogue que acompanhava o boletim de segurança.
Fortinet também sob ataque
Fortinet lançado atualizações para uma vulnerabilidade crítica de estouro de buffer baseada em heap no FortiOS SSL-VPN, que pode ser explorada para travar ou possivelmente sequestrar equipamentos. O fornecedor de segurança observou que está ciente de “uma instância” em que esse bug foi explorado e recomendou “validar imediatamente seus sistemas” contra uma lista de indicadores de comprometimento para a falha com classificação 9.3, rastreada como CVE-2022-42475.
Finalmente, encerrando a festa mensal do patch, o Android de dezembro do Google atualização de segurança corrigiu 81 bugs nesses dispositivos.
“O mais grave desses problemas é uma vulnerabilidade de segurança crítica no componente do sistema que pode levar à execução remota de código por Bluetooth sem a necessidade de privilégios de execução adicionais”, observou. ®
.
