CISA adiciona vulnerabilidade do Microsoft .NET ao catálogo KEV devido à exploração ativa
11 de Agosto de 2023

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) incluiu recentemente uma falha de segurança corrigida nos produtos .NET e Visual Studio da Microsoft em seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando evidências de exploração ativa.

Rastreada como CVE-2023-38180 (pontuação CVSS: 7.5), a grave falha está relacionada a um caso de negação de serviço (DoS) que afeta o .NET e o Visual Studio.

Foi corrigida pela Microsoft como parte de suas atualizações de Patch Tuesday de agosto de 2023 lançadas no início desta semana, marcando-a com uma avaliação de "Exploração Mais Provável".

Embora os detalhes exatos sobre a natureza da exploração não estejam claros, a fabricante do Windows reconheceu a existência de uma prova de conceito (PoC) em seu aviso.

Também disse que ataques explorando a falha podem ser realizados sem quaisquer privilégios adicionais ou interação do usuário.

"Código de exploração de prova de conceito está disponível, ou uma demonstração de ataque não é prática para a maioria dos sistemas", disse a empresa.

"O código ou técnica não funciona em todas as situações e pode exigir uma substancial modificação por um atacante habilidoso."

As versões afetadas do software incluem ASP.NET Core 2.1, .NET 6.0, .NET 7.0, Microsoft Visual Studio 2022 versão 17.2, Microsoft Visual Studio 2022 versão 17.4 e Microsoft Visual Studio 2022 versão 17.6.

Para mitigar riscos potenciais, a CISA recomendou às agências da Branch Executiva Civil Federal (FCEB) que apliquem as correções fornecidas pelo fornecedor para a vulnerabilidade até 30 de agosto de 2023.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...