A Microsoft corrigiu um total de 61 novas falhas de segurança em seu software como parte das atualizações de Patch Tuesday de maio de 2024, incluindo duas zero-days que foram ativamente exploradas em ataques.
Das 61 falhas, uma é classificada como Crítica, 59 são classificadas como Importantes e uma é classificada como Moderada em gravidade.
Isso se soma a 30 vulnerabilidades resolvidas no navegador baseado em Chromium, Edge, durante o último mês, incluindo duas zero-days recentemente divulgadas (CVE-2024-4671 e CVE-2024-4761) que foram marcadas como exploradas em ataques.
As duas falhas de segurança que foram armadas em ataques são:
CVE-2024-30040
(pontuação CVSS: 8.8) - Falha de Bypass de Recurso de Segurança da Plataforma Windows MSHTML
CVE-2024-30051
(pontuação CVSS: 7.8) - Vulnerabilidade de Elevação de Privilégios da Biblioteca Core do Gerenciador de Janelas de Área de Trabalho do Windows (DWM)
"Um atacante não autenticado que explorar com sucesso essa vulnerabilidade poderia obter execução de código ao convencer um usuário a abrir um documento malicioso, momento em que o atacante poderia executar códigos arbitrários no contexto do usuário," disse a gigante da tecnologia em um aviso para o
CVE-2024-30040
.
Entretanto, para uma exploração bem-sucedida é necessário que o atacante convença o usuário a carregar um arquivo especialmente criado em um sistema vulnerável, distribuído via email ou uma mensagem instantânea, e enganá-lo para manipulá-lo.
Curiosamente, não é necessário que a vítima clique ou abra o arquivo malicioso para ativar a infecção.
Por outro lado, o
CVE-2024-30051
poderia permitir que um ator de ameaças ganhasse privilégios de SYSTEM.
Três grupos de pesquisadores da Kaspersky, DBAPPSecurity WeBin Lab, Google Threat Analysis Group e Mandiant foram creditados pela descoberta e relato da falha, indicando uma exploração provavelmente disseminada.
"Vimos isso sendo usado junto com o QakBot e outros malwares, e acreditamos que vários atores de ameaças têm acesso a isso," disseram os pesquisadores da Kaspersky, Boris Larin e Mert Degirmenci.
Ambas as vulnerabilidades foram adicionadas pela U.S.
Cybersecurity and Infrastructure Security Agency (CISA) ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), exigindo que as agências federais apliquem as correções mais recentes até 4 de junho de 2024.
A Microsoft também resolveu vários bugs de execução remota de código, incluindo nove que afetam o Driver de Banda Larga Móvel do Windows e sete que afetam o Serviço de Roteamento e Acesso Remoto do Windows (RRAS).
Outras falhas notáveis incluem falhas de escalonamento de privilégios no driver do Sistema de Arquivos de Log Comum (CLFS) –
CVE-2024-29996
,
CVE-2024-30025
(pontuações CVSS: 7.8) e
CVE-2024-30037
(pontuação CVSS: 7.5) – Win32k (
CVE-2024-30028
e
CVE-2024-30030
, pontuações CVSS: 7.8), Serviço de Pesquisa do Windows (
CVE-2024-30033
, pontuação CVSS: 7.0) e Kernel do Windows (
CVE-2024-30018
, pontuação CVSS: 7.8).
Em março de 2024, a Kaspersky revelou que atores de ameaças estão tentando explorar ativamente falhas de escalonamento de privilégios agora corrigidas em vários componentes do Windows devido ao fato de que "é uma maneira muito fácil de obter rapidamente a NT AUTHORITY\SYSTEM".
A Akamai também delineou uma nova técnica de escalonamento de privilégios afetando ambientes do Active Directory (AD) que aproveita o grupo de administradores DHCP.
"Nos casos em que o papel de servidor DHCP é instalado em um Controlador de Domínio (DC), isso poderia permitir que eles ganhassem privilégios de administrador do domínio," a empresa observou.
Além de fornecer um primitivo de escalonamento de privilégios, a mesma técnica também poderia ser usada para criar um mecanismo de persistência de domínio discreto.
Completando a lista está uma vulnerabilidade de bypass de recurso de segurança (
CVE-2024-30050
, pontuação CVSS: 5.4) afetando o Mark-of-the-Web (MotW) do Windows que poderia ser explorada por meio de um arquivo malicioso para evitar defesas.
Além da Microsoft, atualizações de segurança também foram lançadas por outros fornecedores nas últimas semanas para corrigir várias vulnerabilidades, incluindo:
Adobe
Android
Apple
Arm
ASUS
Atos
Broadcom (incluindo VMware)
Cacti
Cisco
Citrix
CODESYS
Dell
Drupal
F5
Fortinet
GitLab
Google Chrome
Google Cloud
Google Wear OS
Hikvision
Hitachi Energy
HP
HP Enterprise
Redes HP Enterprise Aruba
IBM
Intel
Jenkins
Juniper Networks
Lenovo
Distribuições Linux Debian, Oracle Linux, Red Hat, SUSE e Ubuntu
MediaTek
Mitsubishi Electric
MongoDB
Mozilla Thunderbird
NVIDIA
ownCloud
Palo Alto Networks
Progress Software
QNAP
Qualcomm
Rockwell Automation
Samsung
SAP
Schneider Electric
Siemens
SolarWinds
SonicWall
Tinyproxy
Veeam
Veritas
Zimbra
Zoom, e
Zyxel
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...