A Microsoft lançou na terça-feira atualizações para corrigir um total de 132 novas falhas de segurança em seu software, incluindo seis falhas do tipo zero-day que, segundo a empresa, foram exploradas ativamente em incidentes reais.
Das 132 vulnerabilidades, nove são classificadas como Críticas, 122 são classificadas como Importantes em termos de gravidade, e uma recebeu uma classificação de gravidade de "Nenhuma".
Isso é adicional ao oito falhas que a gigante da tecnologia corrigiu no seu navegador Edge baseado em Chromium no final do mês passado.
A lista de problemas que estavam sob exploração ativa é a seguinte:
-
CVE-2023-32046
(pontuação CVSS: 7.8) - Vulnerabilidade de Elevação de Privilégios da Plataforma Windows MSHTML
-
CVE-2023-32049
(pontuação CVSS: 8.8) - Falha na Funcionamento da Segurança do Windows SmartScreen
-
CVE-2023-35311
(pontuação CVSS: 8.8) - Falha no Funcionamento da Segurança do Microsoft Outlook
-
CVE-2023-36874
(pontuação CVSS: 7.8) - Vulnerabilidade de Elevação de Privilégios do Serviço de Relatório de Erros do Windows
-
CVE-2023-36884
(pontuação CVSS: 8.3) - Vulnerabilidade de Execução Remota de Código do HTML do Office e do Windows
- ADV230001 - Uso malicioso de drivers assinados pela Microsoft para atividade pós-exploração
O fabricante do Windows afirmou estar ciente de ataques direcionados contra entidades de defesa e governo na Europa e América do Norte que tentam explorar o
CVE-2023-36884
, usando atrativos em documentos do Microsoft Office relacionados ao Congresso Mundial Ucraniano, ecoando as últimas descobertas da BlackBerry.
"Um invasor poderia criar um documento do Microsoft Office especialmente elaborado que permite a eles executar código remoto no contexto da vítima", disse a Microsoft.
"No entanto, um invasor teria que convencer a vítima a abrir o arquivo malicioso."
A empresa atribuiu a campanha de intrusão a um grupo de cibercriminosos russos que segue como Storm-0978, que também é conhecido pelos nomes de RomCom, Tropical Scorpius, UNC2596 e Void Rabisu.
"O ator também implementa o ransomware Underground, que está estreitamente relacionado ao ransomware Industrial Spy observado pela primeira vez em maio de 2022", explicou a equipe de Inteligência de Ameaças da Microsoft.
"A última campanha do ator em junho de 2023 envolveu o abuso de
CVE-2023-36884
para entregar um backdoor com semelhanças a RomCom."
Ataques de phishing recentes realizados pelo ator envolveram o uso de versões trojanizadas de software legítimo hospedadas em sites semelhantes para implementar um trojan de acesso remoto chamado RomCom RAT contra vários alvos ucranianos e pró-Ucrânia no leste da Europa e na América do Norte.
Enquanto RomCom foi inicialmente identificado como um grupo ligado ao ransomware Cuba, ele desde então tem sido vinculado a outras cepas de ransomware como Industrial Spy e uma nova variante chamada Underground a partir de julho de 2023, que exibe sobreposições significativas de código-fonte com o Industry Spy.
A Microsoft disse que pretende tomar "ações apropriadas para ajudar a proteger nossos clientes", seja na forma de uma atualização de segurança fora de banda ou por meio de seu processo de liberação mensal.
Na ausência de um patch para
CVE-2023-36884
, a empresa está orientando os usuários a usar a regra de redução de superfície de ataque (ASR) "Bloquear todos os aplicativos do Office de criar processos secundários".
Redmond disse ainda que revogou certificados de assinatura de código usados para assinar e instalar drivers de malwares no modo kernel em sistemas comprometidos, explorando uma brecha na política do Windows para alterar a data de assinatura de drivers antes de 29 de julho de 2015, usando ferramentas de código aberto como HookSignTool e FuckCertVerifyTimeValidity.
Os achados sugerem que o uso de drivers do modo kernel maliciosos está ganhando força entre os atores de ameaças, pois eles operam no nível de privilégio mais alto no Windows, possibilitando estabelecer persistência por longos períodos de tempo e interferir simultaneamente no funcionamento do software de segurança para evitar a detecção.
Não está claro atualmente como as outras falhas estão sendo exploradas e quão amplos são esses ataques.
Mas em vista do abuso ativo, recomenda-se que os usuários se movam rapidamente para aplicar as atualizações para mitigar potenciais ameaças.
Além da Microsoft, atualizações de segurança também foram lançadas por outros fornecedores nas últimas semanas para corrigir várias vulnerabilidades, incluindo:
- Adobe
- AMD
- Android
- Projetos Apache
- Apple (desde então foi retirado)
- Redes Aruba
- Cisco
- Citrix
- CODESYS
- Dell
- Drupal
- F5
- Fortinet
- GitLab
- Google Chrome
- Hitachi Energy
- HP
- IBM
- Redes Juniper
- Lenovo
- Distribuições Linux Debian, Oracle Linux, Red Hat, SUSE e Ubuntu
- MediaTek
- Mitsubishi Electric
- Mozilla Firefox, Firefox ESR e Thunderbird
- NETGEAR
- NVIDIA
- Progress MOVEit Transfer
- Qualcomm
- Samsung
- SAP
- Schneider Electric
- Siemens
- Synology
- VMware
- Zoom, e
- Zyxel
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...