A Microsoft encerrou suas atualizações de Patch Tuesday para 2024 com correções para um total de 72 falhas de segurança abrangendo seu portfólio de software, incluindo uma que a empresa afirma ter sido explorada ativamente.
Das 72 falhas, 17 são classificadas como Críticas, 54 são classificadas como Importantes e uma é classificada como Moderada em severidade.
Trinta e uma das vulnerabilidades são falhas de execução de código remoto, e 27 delas permitem a elevação de privilégios.
Isso é adicional a 13 vulnerabilidades que a empresa abordou em seu navegador Edge baseado em Chromium desde a liberação da atualização de segurança do último mês.
No total, a Microsoft resolveu até 1.088 vulnerabilidades em 2024 sozinha, segundo a Fortra.
A vulnerabilidade que a Microsoft reconheceu como sendo ativamente explorada é a CVE-2024-49138 (pontuação CVSS: 7.8), uma falha de escalonamento de privilégio no Driver do Sistema de Arquivos de Log Comum do Windows (CLFS).
"Um atacante que conseguiu explorar essa vulnerabilidade poderia ganhar privilégios de SISTEMA", disse a empresa em um comunicado, creditando a empresa de cibersegurança CrowdStrike por descobrir e relatar a falha.
Vale notar que a CVE-2024-49138 é a quinta falha de escalonamento de privilégio do CLFS ativamente explorada desde 2022 após
CVE-2022-24521
,
CVE-2022-37969
,
CVE-2023-23376
e
CVE-2023-28252
(pontuações CVSS: 7.8).
Também é a nona vulnerabilidade no mesmo componente a ser corrigida este ano.
"Embora os detalhes da exploração ativa ainda não sejam conhecidos, olhando para a história das vulnerabilidades do driver CLFS, é interessante notar que operadores de ransomware desenvolveram uma predileção por explorar falhas de elevação de privilégio do CLFS nos últimos anos", disse Satnam Narang, engenheiro sênior de pesquisa da Tenable.
Diferente de grupos de ameaça persistente avançada que tipicamente focam em precisão e paciência, operadores de ransomware e afiliados estão focados nas táticas de 'smash and grab' por todos os meios necessários.
Usando falhas de elevação de privilégio como esta no CLFS, afiliados de ransomware podem se movimentar por uma rede dada para roubar e criptografar dados e começar a extorquir suas vítimas.
O fato de o CLFS ter se tornado um caminho de ataque atraente para atores maliciosos não passou despercebido pela Microsoft, que disse estar trabalhando para adicionar uma nova etapa de verificação ao analisar tais arquivos de log.
"Em vez de tentar validar valores individuais nas estruturas de dados do arquivo de log, esta mitigação de segurança fornece ao CLFS a capacidade de detectar quando arquivos de log foram modificados por qualquer coisa que não seja o próprio driver CLFS", observou a Microsoft no final de agosto de 2024.
Isso foi alcançado adicionando Códigos de Autenticação de Mensagem Baseados em Hash (HMAC) ao final do arquivo de log.
A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) adicionou a falha ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), exigindo que as agências do Ramo Executivo Federal Civil (FCEB) apliquem as remediações necessárias até 31 de dezembro de 2024.
A falha com a maior severidade nesse lançamento mensal é uma falha de execução de código remoto que impacta o Protocolo de Acesso a Diretórios Leves do Windows (LDAP).
Está rastreada como CVE-2024-49112 (pontuação CVSS: 9.8).
"Um atacante não autenticado que conseguiu explorar essa vulnerabilidade poderia ganhar execução de código através de um conjunto especialmente criado de chamadas LDAP para executar código arbitrário dentro do contexto do serviço LDAP", disse a Microsoft.
Também vale destacar outras duas falhas de execução de código remoto que impactam o Windows Hyper-V (CVE-2024-49117, pontuação CVSS: 8.8), Cliente de Área de Trabalho Remota (CVE-2024-49105, pontuação CVSS: 8.4) e Microsoft Muzic (CVE-2024-49063, pontuação CVSS: 8.4).
Esse desenvolvimento ocorre enquanto a 0patch lançou correções não oficiais para uma vulnerabilidade zero-day do Windows que permite a agressores capturar credenciais NT LAN Manager (NTLM).
Detalhes adicionais sobre a falha foram retidos até que um patch oficial esteja disponível.
"A vulnerabilidade permite que um atacante obtenha as credenciais NTLM do usuário simplesmente fazendo com que o usuário visualize um arquivo malicioso no Windows Explorer – por exemplo, abrindo uma pasta compartilhada ou disco USB com tal arquivo, ou visualizando a pasta Downloads onde tal arquivo foi previamente baixado automaticamente da página da web do agressor", disse Mitja Kolsek.
No final de outubro, patches não oficiais gratuitos também estavam disponíveis para abordar uma vulnerabilidade zero-day dos Temas do Windows que permite a agressores roubar remotamente as credenciais NTLM de um alvo.
A 0patch também emitiu micropatches para outra vulnerabilidade anteriormente desconhecida no Windows Server 2012 e Server 2012 R2 que permite a um agressor contornar as proteções Mark-of-the-Web (MotW) em certos tipos de arquivos.
Acredita-se que o problema tenha sido introduzido há mais de dois anos.
Com o NTLM sendo extensivamente explorado via ataques de retransmissão e pass-the-hash, a Microsoft anunciou planos para depreciar o protocolo de autenticação legado em favor do Kerberos.
Além disso, tomou a medida de habilitar a Proteção Estendida para Autenticação (EPA) por padrão para novas instalações e existentes do Exchange 2019.
A Microsoft disse que implementou uma melhoria de segurança similar aos Serviços de Certificado do Diretório Azure (AD CS) habilitando o EPA por padrão com o lançamento do Windows Server 2025, que também remove o suporte para NTLM v1 e deprecia o NTLM v2.
Essas mudanças também se aplicam ao Windows 11 24H2.
"Adicionalmente, como parte do mesmo lançamento do Windows Server 2025, o LDAP agora tem a vinculação de canal habilitada por padrão", disse a equipe de segurança da Redmond no início desta semana.
Esses aprimoramentos de segurança mitigam o risco de ataques de retransmissão do NTLM por padrão em três serviços locais: Exchange Server, Active Directory Certificate Services (AD CS) e LDAP.
À medida que avançamos para desativar o NTLM por padrão, mudanças imediatas, de curto prazo, como habilitar o EPA no Exchange Server, AD CS e LDAP reforçam uma postura 'segura por padrão' e protegem os usuários contra ataques do mundo real.
Fora da Microsoft, atualizações de segurança também foram liberadas por outros fornecedores nas últimas semanas para corrigir várias vulnerabilidades, incluindo:
- Adobe
- AMD
- Arm
- ASUS
- Atlassian
- AutomationDirect
- Broadcom (incluindo VMware)
- Canon
- Cisco
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- GitLab
- Google Android e Pixel
- Google Chrome
- Google Cloud
- Hitachi Energy
- HP
- HP Enterprise (incluindo Aruba Networking)
- I-O Data
- IBM
- Intel
- Ivanti
- Jenkins
- Juniper Networks
- Lenovo
- Distribuições Linux Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE e Ubuntu
- MediaTek
- Mitel
- Mitsubishi Electric
- MongoDB
- Mozilla Firefox, Firefox ESR e Thunderbird
- NVIDIA
- Palo Alto Networks
- Progress Software
- QNAP
- Qualcomm
- Rockwell Automation
- SailPoint
- Salesforce
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- SonicWall
- Splunk
- Spring Framework
- Synology
- Veeam, e
- Zyxel
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...