A Microsoft lançou atualizações de segurança para corrigir um total de 118 vulnerabilidades em seu portfólio de software, duas das quais já estão sendo exploradas ativamente na prática.
Do total de 118 falhas, três são classificadas como Críticas, 113 como Importantes e duas como Moderadas em termos de gravidade.
A atualização da Terça-feira de Patches não inclui as 25 falhas adicionais que o gigante da tecnologia abordou em seu navegador baseado em Chromium, Edge, ao longo do último mês.
Cinco das vulnerabilidades estão listadas como publicamente conhecidas no momento do lançamento, com duas delas sendo ativamente exploradas como um zero-day:
-
CVE-2024-43572
(pontuação CVSS: 7.8) - Vulnerabilidade de Execução de Código Remoto no Microsoft Management Console (Exploração detectada)
-
CVE-2024-43573
(pontuação CVSS: 6.5) - Vulnerabilidade de Spoofing na Plataforma MSHTML do Windows (Exploração Detectada)
-
CVE-2024-43583
(pontuação CVSS: 7.8) - Vulnerabilidade de Elevação de Privilégio do Winlogon
-
CVE-2024-20659
(pontuação CVSS: 7.1) - Vulnerabilidade de Bypass de Recurso de Segurança do Windows Hyper-V
-
CVE-2024-6197
(pontuação CVSS: 8.8) - Vulnerabilidade de Execução de Código Remoto em Curl de Código Aberto (CVE não-Microsoft)
Vale destacar que a
CVE-2024-43573
é semelhante à
CVE-2024-38112
e
CVE-2024-43461
, duas outras falhas de spoofing do MSHTML que foram exploradas antes de julho de 2024 pelo ator de ameaças Void Banshee para entregar o malware Atlantida Stealer.
A Microsoft não menciona como as duas vulnerabilidades estão sendo exploradas na prática, por quem, ou a abrangência disso.
Ela creditou os pesquisadores Andres e Shady por reportarem a
CVE-2024-43572
, mas não houve reconhecimento dado à
CVE-2024-43573
, levantando a possibilidade de que poderia ser um caso de bypass de patch.
"Desde a descoberta da
CVE-2024-43572
, a Microsoft agora impede que arquivos MSC não confiáveis sejam abertos em um sistema", disse Satnam Narang, engenheiro pesquisador sênior da Tenable, em uma declaração compartilhada.
A exploração ativa da
CVE-2024-43572
e
CVE-2024-43573
também foi notada pela Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA), que os adicionou ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), exigindo que as agências federais apliquem os correções até 29 de outubro de 2024.
Entre todas as falhas divulgadas pela Redmond na terça-feira, a mais grave diz respeito a uma falha de execução remota no Microsoft Configuration Manager (
CVE-2024-43468
, pontuação CVSS: 9.8) que poderia permitir que atores não autenticados executem comandos arbitrários.
"Um invasor não autenticado poderia explorar essa vulnerabilidade enviando solicitações especialmente elaboradas ao ambiente alvo que são processadas de maneira insegura, permitindo ao invasor executar comandos no servidor e/ou no banco de dados subjacente", diz o comunicado.
Outras duas falhas com gravidade Crítica também se relacionam à execução de código remoto na extensão do Visual Studio Code para Arduino (
CVE-2024-43488
, pontuação CVSS: 8.8) e no Servidor do Protocolo de Desktop Remoto (RDP) (
CVE-2024-43582
, pontuação CVSS: 8.1).
"A exploração requer que um invasor envie pacotes deliberadamente malformados a um host RPC do Windows, e leva à execução de código no contexto do serviço RPC, embora o que isso signifique na prática possa depender de fatores, incluindo a configuração de Restrição de Interface RPC no ativo alvo", disse Adam Barnett, engenheiro de software líder na Rapid7, sobre a
CVE-2024-43582
.
Um ponto positivo: a complexidade do ataque é alta, uma vez que o atacante precisa ganhar uma condição de corrida para acessar a memória inadequadamente.
Patches de Software de Outros Fornecedores
Além da Microsoft, atualizações de segurança também foram lançadas por outros fornecedores nas últimas semanas para corrigir várias vulnerabilidades, incluindo:
- Adobe
- Amazon Web Services
- Apache Avro
- Apple
- AutomationDirect
- Bosch
- Broadcom (incluindo VMware)
- Cisco (incluindo Splunk)
- Citrix
- CODESYS
- Dell
- Draytek
- Drupal
- F5
- Fortinet
- GitLab
- Google Android
- Google Chrome
- Google Cloud
- Hitachi Energy
- HP
- HP Enterprise (incluindo Aruba Networks)
- IBM
- Intel
- Ivanti
- Jenkins
- Juniper Networks
- Lenovo
- Distribuições Linux Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE e Ubuntu
- MediaTek
- Mitsubishi Electric
- MongoDB
- Mozilla Firefox, Firefox ESR e Thunderbird
- NVIDIA
- Okta
- Palo Alto Networks
- Progress Software
- QNAP
- Qualcomm
- Rockwell Automation
- Salesforce Tableau
- Samsung
- SAP
- Schneider Electric
- Siemens
- Sophos
- Synology
- Trend Micro
- Veritas
- Zoom e
- Zyxel
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...