A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) incluiu recentemente uma falha de segurança corrigida nos produtos .NET e Visual Studio da Microsoft em seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando evidências de exploração ativa.
Rastreada como
CVE-2023-38180
(pontuação CVSS: 7.5), a grave falha está relacionada a um caso de negação de serviço (DoS) que afeta o .NET e o Visual Studio.
Foi corrigida pela Microsoft como parte de suas atualizações de Patch Tuesday de agosto de 2023 lançadas no início desta semana, marcando-a com uma avaliação de "Exploração Mais Provável".
Embora os detalhes exatos sobre a natureza da exploração não estejam claros, a fabricante do Windows reconheceu a existência de uma prova de conceito (PoC) em seu aviso.
Também disse que ataques explorando a falha podem ser realizados sem quaisquer privilégios adicionais ou interação do usuário.
"Código de exploração de prova de conceito está disponível, ou uma demonstração de ataque não é prática para a maioria dos sistemas", disse a empresa.
"O código ou técnica não funciona em todas as situações e pode exigir uma substancial modificação por um atacante habilidoso."
As versões afetadas do software incluem ASP.NET Core 2.1, .NET 6.0, .NET 7.0, Microsoft Visual Studio 2022 versão 17.2, Microsoft Visual Studio 2022 versão 17.4 e Microsoft Visual Studio 2022 versão 17.6.
Para mitigar riscos potenciais, a CISA recomendou às agências da Branch Executiva Civil Federal (FCEB) que apliquem as correções fornecidas pelo fornecedor para a vulnerabilidade até 30 de agosto de 2023.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...