Microsoft Corrige 149 Vulnerabilidades com Grande Atualização de Abril, Incluindo Zero-Days
10 de Abril de 2024

A Microsoft lançou atualizações de segurança para o mês de abril de 2024 para corrigir um recorde de 149 vulnerabilidades, sendo que duas delas estão sob exploração ativa na internet (wild).

Das 149 falhas, três são classificadas como Críticas, 142 são consideradas Importantes, três são Moderadas, e uma é vista como de baixa severidade.

Essa atualização vem além das 21 vulnerabilidades que a empresa abordou em seu navegador baseado no Chromium, o Edge, seguindo o lançamento das correções do Patch Tuesday de março de 2024.

As duas falhas que estão sob exploração ativa são:

CVE-2024-26234 (pontuação CVSS: 6.7) - Vulnerabilidade de Spoofing no Proxy Driver
CVE-2024-29988 (pontuação CVSS: 8.8) - Vulnerabilidade de Bypass da Função de Segurança SmartScreen

Enquanto o próprio aviso da Microsoft não fornece informações sobre o CVE-2024-26234 , a empresa de cibersegurança Sophos afirmou que descobriu em dezembro de 2023 um executável malicioso (“Catalog.exe” ou “Serviço de Autenticação do Cliente de Catálogo”) que está assinado por um certificado WHCP (Microsoft Windows Hardware Compatibility Publisher) válido.

Uma análise do Authenticode do binário revelou que o editor original solicitante é a Hainan YouHu Technology Co.

Ltd, que também é a editora de outra ferramenta chamada LaiXi Android Screen Mirroring.

Esta última é descrita como "um software de marketing que pode conectar centenas de celulares e controlá-los em lotes, automatizando tarefas como seguir em massa, curtir e comentar."

Dentro do suposto serviço de autenticação há um componente chamado 3proxy, projetado para monitorar e interceptar o tráfego de rede em um sistema infectado, atuando efetivamente como uma backdoor.

“Não temos evidências que sugerem que os desenvolvedores do LaiXi tenham embutido o arquivo malicioso em seu produto de forma deliberada, ou que um ator de ameaças tenha conduzido um ataque à cadeia de suprimentos para inseri-lo no processo de compilação/construção do aplicativo LaiXi,” disse o pesquisador da Sophos, Andreas Klopsch.

A empresa de cibersegurança também disse que descobriu várias outras variantes do backdoor na internet, retrocedendo até 5 de janeiro de 2023, indicando que a campanha está em andamento pelo menos desde então.

A Microsoft, desde então, adicionou os arquivos relevantes à sua lista de revogação.

A outra falha de segurança que reportadamente está sob ataque ativo é o CVE-2024-29988 , que - assim como o CVE-2024-21412 e o CVE-2023-36025 - permite que atacantes contornem as proteções do Microsoft Defender SmartScreen ao abrir um arquivo especialmente criado.

“Para explorar essa vulnerabilidade de bypass de recurso de segurança, um atacante precisaria convencer um usuário a iniciar arquivos maliciosos usando um aplicativo iniciador que solicita que nenhuma interface do usuário seja mostrada,” disse a Microsoft.

“Em um cenário de ataque por email ou mensagem instantânea, o atacante poderia enviar ao usuário alvo um arquivo especialmente criado projetado para explorar a vulnerabilidade de execução remota de código."

A Zero-Day Initiative revelou que há evidências da falha sendo explorada na internet, embora a Microsoft tenha marcado com uma avaliação de "Exploração Mais Provável".

Outra vulnerabilidade importante é o CVE-2024-29990 (pontuação CVSS: 9.0), uma falha de elevação de privilégio impactando o Microsoft Azure Kubernetes Service Confidencial Container que pode ser explorada por atacantes não autenticados para roubar credenciais.

“Um atacante pode acessar o nó Kubernetes do AKS não confiável e o AKS Confidential Container para assumir o controle de convidados e contêineres confidenciais além da pilha de rede à qual pode estar vinculado,” disse Redmond.

No total, o lançamento é notável por endereçar até 68 bugs de execução remota de código, 31 de escalonamento de privilégios, 26 de bypass de recursos de segurança, e seis negações de serviço (DoS).

Curiosamente, 24 das 26 falhas de bypass de segurança estão relacionadas ao Secure Boot.

“Embora nenhuma dessas vulnerabilidades do Secure Boot abordadas este mês tenha sido explorada na internet, elas servem como um lembrete de que falhas no Secure Boot persistem, e podemos ver mais atividades maliciosas relacionadas ao Secure Boot no futuro,” afirmou Satnam Narang, engenheiro pesquisador sênior de staff na Tenable, em um comunicado.

A divulgação ocorre à medida que a Microsoft enfrentou críticas por suas práticas de segurança, com um recente relatório do U.S.

Cyber Safety Review Board (CSRB) acusando a empresa de não fazer o suficiente para prevenir uma campanha de espionagem cibernética orquestrada por um ator de ameaça chinês rastreado como Storm-0558 no ano passado.

Isso também segue a decisão da empresa de publicar dados de causa raiz para falhas de segurança usando o padrão da indústria Common Weakness Enumeration (CWE).

No entanto, vale notar que as mudanças estão em vigor apenas a partir dos avisos publicados desde março de 2024.

“A adição de avaliações CWE aos avisos de segurança da Microsoft ajuda a identificar a causa raiz genérica de uma vulnerabilidade,” disse Adam Barnett, engenheiro de software líder na Rapid7, em um comunicado compartilhado com o The Hacker News.

“O programa CWE recentemente atualizou suas orientações sobre o mapeamento de CVEs para uma Causa Raiz CWE.

A análise das tendências CWE pode ajudar os desenvolvedores a reduzir ocorrências futuras através de fluxos de trabalho e testes aprimorados do Ciclo de Vida de Desenvolvimento de Software (SDLC), assim como ajudar os defensores a entender onde direcionar esforços de defesa em profundidade e endurecimento de implantação para melhor retorno do investimento.”

Em um desenvolvimento relacionado, a empresa de cibersegurança Varonis detalhou dois métodos que os atacantes poderiam adotar para contornar registros de auditoria e evitar acionar eventos de download enquanto exfiltram arquivos do SharePoint.

A primeira abordagem tira vantagem do recurso "Abrir em Aplicativo" do SharePoint para acessar e baixar arquivos, enquanto a segunda usa o User-Agent para o Microsoft SkyDriveSync para baixar arquivos ou até mesmo sites inteiros, categorizando erroneamente tais eventos como sincronizações de arquivo em vez de downloads.

A Microsoft, que foi informada dos problemas em novembro de 2023, ainda não lançou uma correção, embora eles tenham sido adicionados ao seu programa de backlog de patches.

Enquanto isso, as organizações são recomendadas a monitorar de perto seus registros de auditoria para eventos de acesso suspeitos, especificamente aqueles que envolvem grandes volumes de downloads de arquivos em um curto período.

"Essas técnicas podem burlar as políticas de detecção e execução de ferramentas tradicionais, como corretores de segurança de acesso à nuvem, prevenção de perda de dados e SIEMs, ocultando downloads como eventos de acesso e sincronização menos suspeitos," disse Eric Saraga.

Patches de Software de Outros Fornecedores
Além da Microsoft, atualizações de segurança também foram lançadas por outros fornecedores nas últimas semanas para corrigir várias vulnerabilidades, incluindo:

Adobe
AMD
AndroidApache XML Security for C++
Aruba Networks
Atos
Bosch
Cisco
D-Link
Dell
Drupal
F5
Fortinet
Fortra
GitLab
Google Chrome
Google Cloud
Google Pixel
Hikvision
Hitachi Energy
HP
HP Enterprise
HTTP/2
IBM
Jenkins
Lenovo
LG webOS
Distribuições Linux Debian, Oracle Linux, Red Hat, SUSE e Ubuntu
MediaTek
Mozilla Firefox, Firefox ESR e Thunderbird
NETGEAR
NVIDIA
Qualcomm
Rockwell Automation
Rust
Samsung
SAP
Schneider Electric
Siemens
Splunk
Synology
Trend Micro
VMware
WordPress, e
Zoom

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...