A Microsoft lançou correções para solucionar 63 bugs de segurança em seu software para o mês de novembro de 2023, incluindo três vulnerabilidades que vieram a sofrer exploração ativa no ambiente virtual.
Das 63 falhas, três são classificadas como Críticas, 56 são classificadas como Importantes e quatro são classificadas como Moderadas em termos de gravidade.
Dois deles foram listados como publicamente conhecidos no momento da liberação.
As atualizações adicionam-se a mais de 35 falhas de segurança abordadas em seu navegador baseado em Chromium, o Edge, desde o lançamento das atualizações de Patch Tuesday de outubro de 2023.
Os cinco zero-days que merecem destaque são os seguintes -
CVE-2023-36025
(pontuação CVSS: 8,8) - Falha de contorno do recurso de segurança Windows SmartScreen
CVE-2023-36033
(pontuação CVSS: 7,8) - Vulnerabilidade de elevação de privilégio da biblioteca principal do Windows DWM
CVE-2023-36036
(pontuação CVSS: 7,8) - Vulnerabilidade de elevação de privilégio do driver de filtro mini de arquivos na nuvem do Windows
CVE-2023-36038
(pontuação CVSS: 8,2) - Vulnerabilidade de negação de serviço do ASP.NET Core
CVE-2023-36413
(pontuação CVSS: 6,5) - Vulnerabilidade de contorno do recurso de segurança do Microsoft Office
Tanto o
CVE-2023-36033
quanto o
CVE-2023-36036
podem ser explorados por um invasor para obter privilégios do SISTEMA, enquanto o
CVE-2023-36025
pode possibilitar contornar as checagens e prompts do Windows Defender SmartScreen.
"O usuário teria que clicar em um atalho de Internet especialmente criado (.URL) ou em um hyperlink apontando para um arquivo de atalho de Internet para ser comprometido pelo invasor", disse a Microsoft sobre o
CVE-2023-36025
.
O
CVE-2023-36025
é a terceira vulnerabilidade zero-day do Windows SmartScreen explorada no ambiente virtual em 2023 e a quarta nos últimos dois anos.
Em dezembro de 2022, a Microsoft lançou o patch para o
CVE-2022-44698
(pontuação CVSS: 5,4), enquanto o
CVE-2023-24880
(pontuação CVSS: 5,1) foi corrigido em março e o
CVE-2023-32049
(pontuação CVSS: 8,8) foi corrigido em julho.
No entanto, a fabricante do Windows não forneceu mais orientações sobre os mecanismos de ataque que estão sendo usados e sobre os agentes de ameaça que podem estar usândo-os.
Mas a exploração ativa das falhas de elevação de privilégio sugere que elas provavelmente são usadas em conjunto com um bug de execução de código remoto.
"Nos últimos dois anos, houve 12 vulnerabilidades de elevação de privilégio na biblioteca principal do DWM, embora esta seja a primeira a ter sido explorada no ambiente virtual como um zero-day", disse Satnam Narang, engenheiro sênior de pesquisa de pessoal da Tenable, em uma declaração compartilhada com The Hacker News.
Este desenvolvimento levou a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) a adicionar os três problemas ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exortando as agências federais a aplicarem as correções até 5 de dezembro de 2023.
A Microsoft também lançou correções para duas falhas críticas de execução de código remoto no Protocolo de Autenticação Extensível Protegido e Pragmatic General Multicast (
CVE-2023-36028
e
CVE-2023-36397
, pontuações CVSS: 9,8) que um agente de ameaça poderia usar para desencadear a execução de código malicioso.
A atualização de novembro também inclui um patch para o
CVE-2023-38545
(pontuação CVSS: 9,8), uma falha crítica de estouro de buffer baseado em heap na biblioteca curl que veio à luz no mês passado, bem como uma vulnerabilidade de divulgação de informações no Azure CLI (
CVE-2023-36052
, pontuação CVSS: 8,6).
"Um invasor que explorasse com sucesso essa vulnerabilidade poderia recuperar senhas e nomes de usuário em texto puro dos arquivos de log criados pelos comandos CLI afetados e publicados pelo Azure DevOps e/ou GitHub Actions", afirmou a Microsoft.
O pesquisador Aviad Hahami, da Palo Alto Networks, que relatou o problema, disse que a vulnerabilidade poderia permitir acesso às credenciais armazenadas no log do pipeline e permitir que um adversário potencialmente aumentasse seus privilégios para ataques subsequentes.
Em resposta, a Microsoft afirmou que fez alterações em vários comandos Azure CLI para proteger o Azure CLI (versão 2.54) contra usos inadvertidos que poderiam levar à exposição de segredos.
Correções de software de outros fornecedores
Além da Microsoft, outros fornecedores também lançaram atualizações de segurança ao longo das últimas semanas para corrigir várias vulnerabilidades, incluindo —
Adobe
AMD (incluindo CacheWarp)
Android
Projetos Apache
Apple
Aruba Networks
Arm
ASUS
Atlassian
Cisco
CODESYS
Dell
Drupal
F5
Fortinet
GitLab
Google Chrome
Hitachi Energy
HP
IBM
Intel
Jenkins
Redes Juniper
Lenovo
Distribuições Linux Debian, Oracle Linux, Red Hat, SUSE e Ubuntu
MediaTek
Electric Mitsubishi
NETGEAR
NVIDIA
Redes Palo Alto
Qualcomm
Samsung
SAP
Schneider Electric
Siemens
SolarWinds
SonicWall
SysAid
Trend Micro
Veeam
Veritas
VMware
WordPress
Zimbra
Zoom, e
Zyxe
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...