Microsoft anunciou na terça-feira(10) uma grande atualização que inclui correções de segurança para 79 falhas, incluindo quatro explorações ativas e uma zero-day divulgada publicamente.
Foram corrigidas sete vulnerabilidades críticas, que eram falhas de execução remota de código ou elevação de privilégios.
O número de bugs em cada categoria de vulnerabilidade está listado abaixo:
- 30 vulnerabilidades de Elevação de Privilégio
- 4 vulnerabilidades de Bypass de Recursos de Segurança
- 23 vulnerabilidades de Execução Remota de Código
- 11 vulnerabilidades de Divulgação de Informações
- 8 vulnerabilidades de Negação de Serviço
- 3 vulnerabilidades de Spoofing
Para saber mais sobre as atualizações não relacionadas à segurança lançadas hoje, você pode conferir nossos artigos dedicados sobre a nova atualização cumulativa do Windows 11 KB5043076 e a atualização do Windows 10 KB5043064.
A Patch Tuesday deste mês corrigiu quatro zero-days que estavam sendo ativamente exploradas, uma das quais foi divulgada publicamente.
A Microsoft classifica uma falha zero-day como aquela que é divulgada publicamente ou ativamente explorada enquanto não existe uma correção oficial disponível.
As quatro vulnerabilidades zero-day ativamente exploradas nas atualizações de hoje são:
CVE-2024-38014
- Vulnerabilidade de Elevação de Privilégio no Windows Installer
Esta vulnerabilidade permite ataques para ganhar privilégios de SYSTEM em sistemas Windows.
A Microsoft não compartilhou detalhes sobre como ela foi explorada em ataques.
A falha foi descoberta por Michael Baer da SEC Consult Vulnerability Lab.
CVE-2024-38217
- Vulnerabilidade de Bypass da Marca de Água de Segurança do Windows
Essa falha foi divulgada publicamente no mês passado por Joe Desimone da Elastic Security e acredita-se que esteja sendo ativamente explorada desde 2018.
No relatório, Desimone descreveu uma técnica chamada LNK stomping que permite que arquivos LNK especialmente criados com caminhos de destino não padrão ou estruturas internas façam com que o arquivo seja aberto, contornando o Controle de Aplicativo Inteligente e os avisos de segurança da Marca de Água (MOTW).
"Um atacante pode criar um arquivo malicioso que evadiria as defesas da Marca de Água (MOTW), resultando em uma perda limitada de integridade e disponibilidade de recursos de segurança, como a verificação de reputação do aplicativo SmartScreen e/ou o prompt de segurança dos Serviços de Anexos do Windows legacy", explica o aviso da Microsoft.
Quando explorada, ela faz com que o comando no arquivo LNK seja executado sem aviso, como demonstrado neste vídeo.
CVE-2024-38226
- Vulnerabilidade de Bypass de Recursos de Segurança do Microsoft Publisher
A Microsoft corrigiu uma falha no Microsoft Publisher que burla as proteções de segurança contra macros embutidas em documentos baixados.
"Um atacante que explorasse com sucesso essa vulnerabilidade poderia contornar as políticas de macros do Office usadas para bloquear arquivos não confiáveis ou maliciosos", explica o aviso da Microsoft.
A Microsoft não compartilhou quem divulgou a falha nem como ela foi explorada.
CVE-2024-43491
- Vulnerabilidade de Execução Remota de Código na Atualização do Microsoft Windows
A Microsoft corrigiu uma falha na pilha de manutenção que permite a execução remota de código.
"A Microsoft está ciente de uma vulnerabilidade na Pilha de Serviço que reverteu as correções para algumas vulnerabilidades afetando Componentes Opcionais no Windows 10, versão 1507 (versão inicial lançada em julho de 2015)", explica o aviso da Microsoft.
Isto significa que um atacante poderia explorar essas vulnerabilidades previamente mitigadas nos sistemas Windows 10, versão 1507 (Windows 10 Enterprise 2015 LTSB e Windows 10 IoT Enterprise 2015 LTSB) que instalaram a atualização de segurança do Windows lançada em 12 de março de 2024—KB5035858 (Build do SO 10240.20526) ou outras atualizações lançadas até agosto de 2024.
Todas as versões posteriores do Windows 10 não são impactadas por essa vulnerabilidade.
Esta vulnerabilidade da pilha de serviço é endereçada instalando a atualização da pilha de serviço de setembro de 2024 (SSU KB5043936) E a atualização de segurança do Windows de setembro de 2024 (KB5043083), nessa ordem.
Essa falha impacta apenas o Windows 10, versão 1507, que alcançou o fim da vida útil em 2017.
No entanto, ela também impacta as edições Windows 10 Enterprise 2015 LTSB e Windows 10 IoT Enterprise 2015 LTSB, que ainda estão sob suporte.
Esta falha é interessante porque causou a reversão de Componentes Opcionais, como Serviços de Diretório Leve do Active Directory, Visualizador XPS, Internet Explorer 11, Serviço de Impressão LPD, IIS e Windows Media Player para suas versões RTM originais.
Isso fez com que qualquer CVE anterior fosse reintroduzido no programa, o qual poderia então ser explorado.
Mais detalhes sobre a falha e a lista completa de componentes afetados podem ser encontrados no aviso da Microsoft.
A Microsoft não compartilhou quem divulgou a falha nem como ela foi explorada.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...