Perspectiva da Akamai sobre a Patch Tuesday de julho de 2024
Muitos países comemoram seus dias de independência em julho, e que melhor maneira de comemorar do que com uma explosão de CVEs? Houve 137 vulnerabilidades corrigidas na Patch Tuesday de julho de 2024, com cinco vulnerabilidades no Microsoft Sharepoint Server, no Serviço de Licenciamento de Área de Trabalho Remota do Windows e na Biblioteca de codecs do Windows.
Além disso, uma vulnerabilidade de elevação de privilégio (EoP) no Windows Hyper-V e uma vulnerabilidade de falsificação na Plataforma MSHTML do Windows foram relatadas como vistas em ambiente real, e há uma correção para uma vulnerabilidade nos Temas do Windows que foi relatada pelo pesquisador da Akamai Tomer Peled.
Assim como acontece todo mês, o grupo de inteligência de segurança da Akamai se mobilizou para analisar as vulnerabilidades mais intrigantes que foram corrigidas.
Nesta publicação do blog, avaliaremos quão críticas são as vulnerabilidades e o quanto as aplicações e os serviços afetados são comuns, oferecendo uma perspectiva realista sobre os bugs que foram corrigidos. Atente-se a esses insights nos dias após cada Patch Tuesday.
Este é um relatório contínuo, e traremos mais informações, conforme o avanço da nossa pesquisa. Fique atento!
Neste mês, concentramo-nos nas seguintes áreas em que os bugs foram corrigidos:
Vulnerabilidades encontradas no ambiente real
CVE-2024-38080 — Windows Hyper-V (CVSS 7.8)
O Windows Hyper-V é o hipervisor nativo do Windows. Ele permite a hospedagem de máquinas virtuais (convidadas) em uma única máquina host. A virtualização é muito comum em redes corporativas, pois permite economizar em custos de hardware.
Em nossas observações, 84% dos ambientes tinham máquinas com Hyper-V habilitado (hosts).
CVE-2024-38080 é uma vulnerabilidade EoP local que permite que invasores obtenham privilégios SYSTEM após uma exploração bem-sucedida. Ainda não está claro se a vulnerabilidade existe em máquinas host ou máquinas convidadas e como ela é explorada. A Microsoft indicou que a exploração bem-sucedida desta vulnerabilidade foi detectada no ambiente real.
Detecção
Para detectar hosts Hyper-V, você pode usar o seguinte OSQuery:
SELECT
name, statename
FROM
windows_optional_features
WHERE
name LIKE 'Microsoft-Hyper-V%'
AND state = 1
Akamai Guardicore Segmentation Os clientes podem usar o recurso Insight para executar essa consulta.
CVE-2024-38112 – Plataforma MSHTML do Windows (CVSS 7,5)
MSHTML é um renderizador de página da Web para o sistema operacional Windows. Ele expõe uma interface Component Object Model (COM) para permitir que os programas adicionem recursos de renderização da Web. É usado pelo Internet Explorer, o modo Internet Explorer do Microsoft Edge, o Microsoft Outlook e vários outros programas.
Várias vulnerabilidades foram encontradas na plataforma MSHTML no passado (incluindo algumas encontradas por pesquisadores da Akamai), e ela é um alvo de exploração atraente para invasores devido à sua capacidade de contornar mecanismos de defesa e ao fato de ser um recurso integrado no Windows.
Para uma análise técnica da CVE, você pode ler mais na publicação do blog do Haifei Li.
Vulnerabilidades descobertas por pesquisadores da Akamai
CVE-2024-38030 — Temas do Windows (CVSS 6.5)
Temas da Microsoft é um recurso do Windows que permite a um usuário alterar a forma como ícones ou fontes são exibidos, entre outras possíveis alterações. É uma parte integrada ao Windows
Pesquisador da Akamai, Tomer Peled encontrou a CVE-2024-38030, que é categorizada como uma vulnerabilidade de falsificação com pontuação CVSS de 6,5. A exploração bem-sucedida desta vulnerabilidade ignora a correção da CVE-2024-21320, que também foi descoberta por Peled.
A correção para CVE-2024-21320 introduziu a função PathIsUNC para verificar se um determinado caminho em um arquivo de tema é um caminho UNC. Felizmente para a Microsoft, James Forshaw já discutiu uma maneira de ignorar essa função. Acreditamos que essa pode ser a primeira vez que essa situação é usada para explorar os recursos do Windows.
Serviço de Licenciamento de Área de Trabalho Remota do Windows
O Serviço de Licenciamento de Área de Trabalho Remota do Windows é usado como parte de uma implantação de Serviços de Área de Trabalho Remota do Windows (RDS). O RDS é uma solução de virtualização para implantar e gerenciar áreas de trabalho remotas virtuais para usuários.
O Serviço de Licenciamento é usado para emitir e gerenciar licenças de acesso de clientes, que são necessárias para se conectar a áreas de trabalho virtuais geradas por meio dos Serviços de Área de Trabalho.
Este mês, há três vulnerabilidades críticas de execução remota de código, bem como quatro vulnerabilidades de negação de serviço no Serviço de Licenciamento de Área de Trabalho Remota do Windows.
| Número de CVE | Efeito |
|---|---|
| CVE-2024-38077 | Execução remota de código |
| CVE-2024-38074 | |
| CVE-2024-38076 | |
| CVE-2024-38071 | Negação de serviço |
| CVE-2024-38072 | |
| CVE-2024-38073 | |
| CVE-2024-38099 |
Mitigação
A recomendação da Microsoft é desativar o serviço se ele não estiver mais em uso. À medida que mais organizações estão migrando para a nuvem, pode ser possível que sua implantação do RDS também seja movida para a nuvem, e o servidor de licenciamento local não seja mais necessário. Em nossas observações, 50% dos ambientes tinham um servidor com o Serviço de Licenciamento de Área de trabalho Remota (TermServLicensing) em execução.
Você pode usar o seguinte OSQuery para detectar o serviço e seu status:
SELECT
status, pid, start_type
FROM
services
WHERE
name='TermServLicensing'
Além disso, o Serviço de Licenciamento é acessível por rede via RPC (Chamada de procedimento remoto). Como tal, ele usa portas efêmeras e um pipe de nome (\\pipe\\HydraLsPipe) para comunicação, o que pode ser difícil de rastrear ao longo do tempo. Você pode usar o Rastreamento de eventos para Windows (ETW) para monitorar o tráfego de RPC ou limitar o acesso à interface RPC com Filtros RPC. Sua UUID de interface é {3d267954-eeb7-11d1-b94e-00c04fa3080d}.
Biblioteca de codecs do Microsoft Windows
A Biblioteca de codecs do Microsoft Windows contém os codecs internos do Windows. Os codecs são usados para codificar e decodificar vários formatos de mídia, como imagens, vídeos, áudio e fontes.
Neste mês, houve uma vulnerabilidade crítica de execução remota de código CVE-2024-38060, que, de acordo com as perguntas frequentes, pode ser explorada por meio do upload de uma imagem TIFF mal-intencionada em um servidor. O codec TIFF faz parte do Componente de Imagem do Windows (WIC) e é integrado ao Windows. Dessa forma, ele afeta qualquer instalação do Windows e qualquer programa em execução que use WIC para analisar imagens TIFF.
Você pode usar o OSQuery a seguir para detectar processos que carregaram a DLL da biblioteca de codecs:
SELECT
name, pid, proc.path
FROM
process_memory_map AS pmm
JOIN processes AS procUSING(pid)
WHERE
pmm.path LIKE '%windowscodecs.dll'
Há também duas CVEs de divulgação de informações: CVE-2024-38055, que expõe partes da memória do kernel do Windows, e CVE-2024-38056, que pode expor partes da memória heap, presumivelmente de processos usando a biblioteca de codecs.
Serviços abordados anteriormente
Muitas CVEs na Patch Tuesday deste mês destinam-se a sistemas que já abordamos no passado. Caso tenha interesse em nossa análise ou recomendações gerais sobre esses serviços, recomendamos que consulte nossas perspectivas anteriores nas postagens do blog da Patch Tuesday.
| Serviço | Número de CVE | Efeito | Acesso necessário |
|---|---|---|---|
| Microsoft SharePoint Server | CVE-2024-38023 | Execução remota de código | Permissões de rede, SiteOwner |
| CVE-2024-38024 | |||
| CVE-2024-32987 | Divulgação de informações | Rede, autenticação necessária | |
| Serviços de criptografia do Windows | CVE-2024-30098 | Desvio do recurso de segurança | Rede, requer colisão SHA1 |
| Windows iSCSI | CVE-2024-35270 | Negação de serviço | Rede local |
| Serviço de servidor DHCP | CVE-2024-38044 | Execução remota de código | Rede, requer privilégios DHCP específicos, presumivelmente admin DHCP |
| Microsoft Defender para IoT | CVE-2024-38089 | Elevação de privilégio | Rede |
Este resumo fornece uma visão geral da nossa compreensão e das nossas recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações. Você também pode nos visitar no X, antigo Twitter, para receber atualizações em tempo real.