Table of Contents
Atualização de Segurança da Microsoft de Outubro
A atualização de segurança da Microsoft de outubro abordou um total substancial de 117 vulnerabilidades, incluindo dois flaws que estão sendo explorados ativamente e três vulnerabilidades que foram divulgadas publicamente, mas ainda não foram exploradas. Esta atualização é a terceira maior até agora em 2024, em termos de CVE divulgados, após as 147 CVEs de abril e 139 de julho.
A maioria dos bugs (46) permite execução remota de código (RCE), e 28 outras fornecem aos atacantes a capacidade de elevar privilégios. As demais vulnerabilidades incluem aquelas que possibilitam spoofing, negação de serviço, e outros resultados maliciosos. Como sempre, as CVEs afetaram uma ampla gama de tecnologias da Microsoft, incluindo o sistema operacional Windows, a tecnologia de virtualização Hyper-V, Windows Kerberos, Azure, Power BI, e componentes do .NET.
Vulnerabilidades Ativamente Exploradas
Duas vulnerabilidades na atualização de outubro que estão sendo exploradas ativamente pelos atacantes requerem atenção imediata.
Uma delas é a CVE-2024-43573, uma vulnerabilidade de spoofing no MSHTML, ou no mecanismo de navegação legado Trident para o Internet Explorer que a Microsoft inclui em versões modernas para manter a compatibilidade com versões anteriores. Este bug é semelhante à CVE-2024-38112 e à CVE-2024-43461, que a Microsoft divulgou em julho e setembro, respectivamente, e que o grupo Void Banshee tem explorado ativamente. Uma característica incomum deste bug é que a Microsoft não credenciou ninguém por relatá-lo ou descobri-lo.
As organizações não devem permitir que a avaliação de gravidade moderada da Microsoft para a CVE-2024-43573 as faça pensar que o bug não merece atenção imediata. Pesquisadores da Zero Day Initiative da Trend Micro alertaram que, “não há informações da Microsoft se o [Void Banshee] está por trás disso, mas considerando a falta de reconhecimento, isso me faz pensar que o patch original foi insuficiente. De qualquer forma, não ignore isso com base na avaliação de gravidade. Teste e implemente esta atualização rapidamente”.
A outra vulnerabilidade zero-day que os atacantes estão explorando é a CVE-2024-43572, um bug de RCE no Microsoft Management Console (MMC). A Microsoft afirmou que seu patch impede que arquivos de console salvos não confiáveis sejam abertos para proteger os clientes contra os riscos associados a essa vulnerabilidade.
Pesquisadores da Elastic Security relataram anteriormente observar grupos de atacantes utilizando arquivos MMC especialmente elaborados, batizados de GrimResource, para acesso inicial e evasão de defesa. Contudo, não está claro imediatamente se os atacantes estavam explorando a CVE-2024-43572 nessa campanha ou algum outro bug. A Microsoft não abordou esse ponto em seu patch mais recente.
Publicamente Conhecidas, Mas Não Exploitadas — Por Enquanto
As outras três vulnerabilidades zero-day que a Microsoft divulgou como parte de sua atualização de segurança de outubro — mas que os atacantes ainda não exploraram — são:
- CVE-2024-6197, uma vulnerabilidade de execução remota de código na ferramenta de linha de comando cURL;
- CVE-2024-20659, uma vulnerabilidade de bypass de segurança de gravidade moderada no Windows Hyper-V; e
- CVE-2024-43583, uma vulnerabilidade de elevação de privilégio do WinLogon.
Mike Walters, presidente e cofundador da Action 1, afirmou que as organizações devem priorizar o patch da CVE-2024-6197. Embora a Microsoft tenha avaliado a vulnerabilidade como menos provável de ser explorada, Walters espera que um código de prova de conceito para a falha se torne disponível em breve. “Esta vulnerabilidade é particularmente preocupante, pois impacta a arquitetura fundamental de gerenciamento de memória no cURL, uma ferramenta integral para transferências de dados através de vários protocolos de rede”, disse Walters.
Meanwhile, organizações que usam editores de método de entrada de terceiros (IMEs) que permitem aos usuários digitar em diferentes idiomas estão em risco particular com a CVE-2024-43583, que é a falha de elevação de privilégio do WinLogon, acrescentou Walters. “Esta vulnerabilidade é particularmente pertinente em ambientes diversos onde o suporte multilíngue é crucial, como em empresas globais ou instituições educacionais”, disse ele. Os atacantes poderiam explorar a vulnerabilidade como parte de uma cadeia de ataque mais ampla para comprometer ambientes afetados.
Outros Bugs Críticos que Precisam de Atenção Agora
A Microsoft avaliou apenas três das 117 vulnerabilidades que divulgou esta semana como sendo críticas. Todas elas são RCEs. Elas são:
- CVE-2024-43468 no Microsoft Configuration Manager,
- CVE-2024-43582 no servidor Remote Desktop Protocol (RDP), e
- CVE-2024-43488 na extensão Visual Studio Code para Arduino Remote.
A CVE-2024-43468 destaca algumas preocupações de segurança de memória com o Microsoft Configuration Manager, comentou Cody Dietz, um pesquisador da Automox. “A exploração bem-sucedida dessa vulnerabilidade pode permitir movimentação lateral em toda a rede e oferece a potencialidade de implantar configurações maliciosas em outros sistemas”. Além de aplicar imediatamente o patch, as organizações devem considerar o uso de uma conta de serviço alternativa para mitigar riscos, disse Dietz.
A Automox também destacou a CVE-2024-43533, um bug de alta gravidade no RDP. O bug está presente no cliente RDP e permite que atacantes executem código arbitrário em uma máquina cliente. “Diferente de vulnerabilidades comuns do RDP que visam servidores, esta inverte o script, oferecendo um vetor de ataque único contra clientes”, escreveu Tom Bowyer, diretor de segurança de TI da Automox.
“Essa vulnerabilidade abre as portas para back-hacks”, acrescentou Boyer, “onde atacantes configuram servidores RDP falsos para explorar atividades de varredura de entidades como estados-nação ou empresas de segurança”.
#Microsoft #Segurança #Atualização #Vulnerabilidades #CVE #RCE #Cibersegurança
autor ref: Jai Vijayan, Contributing Writer
ref:https://www.darkreading.com/vulnerabilities-threats/5-cves-microsofts-october-2024-update-patch-now