Perspectiva da Akamai sobre a Patch Tuesday de abril de 2023
Não deixe ninguém enganar você: o verdadeiro significado de PT é Patch Tuesday. Assim como acontece todo mês, o Grupo de inteligência de segurança da Akamai se mobilizou para analisar as vulnerabilidades mais intrigantes que foram corrigidas.
Aproximadamente 100 CVEs foram corrigidas este mês, sete delas críticas, e duas com uma alta pontuação CVSS de 9,8. Uma das CVEs corrigidas também foi usada no mundo real,designando-a como uma vulnerabilidade de dia zero corrigida.
Neste relatório, avaliaremos o quão críticas as vulnerabilidades realmente são e quão comuns são as aplicações e os serviços afetados, e forneceremos uma perspectiva realista sobre os bugs que foram corrigidos. Fique atento(a) a esses insights nos dias após cada Patch Tuesday. Você também pode ver uma rápida visão geral em tempo real no dia do patch em nossa conta do Twitter.
Este é um relatório de atualização e vamos incluir mais informações à medida que nossa pesquisa avança. Fique atento(a)!
Neste relatório, vamos nos concentrar nas seguintes áreas nas quais os bugs foram corrigidos:
Vulnerabilidades exploradas no mundo real
Sistema de Arquivos de Registro Comum – CVE-2023-28252
Uma vulnerabilidade de elevação local de privilégios no driver CLFS (Sistema de Arquivos de Registro Comum) do Windows, de acordo com a Kaspersky, foi usada como um dia zero em ataques do ransomware Nokoyawa. Eles também explicam a causa raiz e o efeito da vulnerabilidade, que é uma gravação fora dos limites que eventualmente leva a uma primitiva de leitura/gravação de memória livre do kernel. O CLFS está disponível no Windows desde o Windows Server 2003 R2; portanto, essa vulnerabilidade tem um grande impacto. Recomendamos que você corrija seus sistemas o mais rápido possível.
Enfileiramento de Mensagens da Microsoft
Houve três vulnerabilidades no serviço MSMQ (Enfileiramento de Mensagens da Microsoft): uma vulnerabilidade crítica de RCE (Execução Remota de Código) de 9,8 e duas vulnerabilidades de negação de serviço. Todas as três vulnerabilidades foram encontradas por Haifei Li, da CPR (Check Point Research), que publicou um bom artigo sobre as vulnerabilidades.
O serviço MSMQ é um recurso opcional no Windows, usado para entregar mensagens entre diferentes aplicativos. Apesar de ser opcional, ele é usado em segundo plano por muitos aplicativos empresariais para Windows, como o servidor Microsoft Exchange. Em nossas observações, encontramos o serviço instalado em quase 50% dos ambientes, geralmente em mais de uma máquina.
Como a vulnerabilidade de RCE é facilmente acionada (requer apenas um único pacote de acordo com a CPR), recomendamos fortemente a aplicação de patches o mais rápido possível. Se a aplicação da patches não for possível, devido à continuidade operacional ou a algum outro motivo, recomendamos, no mínimo, restringir o acesso ao serviço usando políticas de segmentação de rede. Como o serviço MSMQ é acessível pela porta 1801, mas não deve ser acessado por tantos clientes (já que é usado principalmente pelo próprio aplicativo corporativo), recomendamos restringir o acesso arbitrário à rede a essa porta e serviço. Tente segmentá-lo usando políticas de lista de permissões, permitindo o acesso apenas às máquinas que realmente precisam dele.
Número de CVE |
Efeito |
Acesso necessário |
|---|---|---|
Negação de serviço |
Rede |
|
Execução remota de código |
Rede |
Multicast Geral Pragmático do Windows
O PGM (Multicast Geral Pragmático) é um protocolo criado para fornecer pacotes entre vários membros da rede de maneira confiável. No Windows, a implementação desse protocolo é chamada de multicast confiável. Esta Patch Tuesday corrigiu uma vulnerabilidade crítica de RCE, a CVE-2023-28250, com uma pontuação CVSS de 9,8.
Em nossas observações, notamos que 40% dos ambientes tinham multicast confiável ativado. Embora, na maioria dos data centers, apenas poucas máquinas tivessem esse recurso habilitado, notamos ambientes em que vários servidores estavam executando o PGM.
Desde o Windows Server 2003, o PGM depende dos soquetes do Windows. No espaço do usuário, ele é implementado em uma biblioteca chamada wshrm.dll (DLL auxiliar do Windows Sockets para PGM, em que rm significa multicast remoto). No espaço do kernel, o PGM é implementado por meio do driver rmcast.sys.
O patch adicionou verificação de tamanho em uma chamada para memset, na função DecodeParityPackets. Antes da correção, um invasor remoto conseguiu enviar um pacote especialmente criado para causar um estouro de número inteiro, o que posteriormente levaria à execução do código. Embora não seja explicitamente mencionada, a vulnerabilidade pode ter recebido uma alta pontuação CVSS devido ao fato de que a execução do código é obtida no modo kernel, ou seja, com os mais altos privilégios possíveis.
De acordo com a Microsoft (em um boletim de segurança mais antigo sobre uma CVE diferente), “o MSMQ deve ser instalado e o protocolo PGM (Multicast Geral Pragmático) do Windows especificamente habilitado para que um sistema fique vulnerável” (Figura 1). Ou seja, o PGM depende do Enfileiramento de mensagens para sua operação e, portanto, as recomendações da seção anterior também se aplicam aqui. Isso está ainda mais alinhado com as atenuações e perguntas frequentes que a Microsoft publicou para a CVE deste mês.
Fig. 1: Ativação do MSMQ e multicasting por meio da caixa de diálogo Recursos do Windows
Número de CVE |
Efeito |
Acesso necessário |
|---|---|---|
Execução remota de código |
Rede |
Serviço de Servidor DHCP
O protocolo DHCP é usado para gerenciar o tráfego e os endereços de rede (atribuição de endereço IP, gateway padrão e configuração do servidor DNS e muito mais). O Windows tem sua própria implementação de um servidor DHCP, que pode ser instalado como uma função adicional nas instalações do Windows Server. Em nossas observações, vimos o serviço de servidor DHCP em aproximadamente 40% dos ambientes.
Há uma vulnerabilidade crítica no servidor DHCP desta vez que pode ser usada para obter a RCE. Como o DHCP é crucial para a operação de toda a LAN, pode ser difícil mitigar o risco da vulnerabilidade por segmentação (uma vez que, tecnicamente, o serviço deve estar aberto a toda a rede). Mas pode ser possível usar a microssegmentação para permitir o acesso da rede ao serviço DHCP a partir de apenas um pequeno conjunto de processos de origem. Se você tiver monitoramento de rede com visibilidade do processo de origem, talvez seja possível mapear todos os clientes DHCP exclusivos em sua rede e limitar o acesso a apenas esses processos. Caso contrário (e independentemente), você deve aplicar patches nos seus servidores.
Em nossas observações, vimos apenas 14 processos exclusivos acessarem o servidor DHCP (e um deles foi o nmap, então, tecnicamente é 13).
Número de CVE |
Efeito |
Acesso necessário |
|---|---|---|
Execução de código remota |
Rede local |
Protocolo Remoto Netlogon
O Protocolo Remoto Netlogon é o protocolo usado para autenticação de usuário e máquina em ambientes de domínio do Windows. Também é usado para sincronização entre controladores de domínio. Como tal, ele é imprescindível nas redes de domínio do Windows, e é por isso que a CVE-2023-28268 pode afetar a maioria dos ambientes.
Parece semelhante a uma vulnerabilidade anterior que abordamos no aviso de novembro de 2022:CVE-2022-38023. Ambas as vulnerabilidades estão relacionadas ao fato de um invasor usar um ataque MITM (machine-in-the-middle) e usar a assinatura de RPC em vez da vedação de RPC.
Para impor a vedação RPC, a Microsoft introduziu a chave de registro RequireSeal. De acordo com as recomendações anteriores, deve ser impossível desativar o registro, e ele só pode estar em modos de compatibilidade ou de imposição.
Número de CVE |
Efeito |
Acesso necessário |
|---|---|---|
Elevação de privilégio |
Rede, MITM |
Chamada de Procedimento Remoto do Windows
Há três vulnerabilidades neste mês relacionadas a chamadas de procedimento remoto (RPCs; estamos incluindo o RPCSS CVE). A vulnerabilidade de RCE está no tempo de execução da RPC, que fornece a API e a implementação do protocolo RPC. Ele é implementado no DLL rpcrt4.dll. O RPCSS (Serviço de Chamada de Procedimento Remoto) na outra extremidade é um servidor RPC por si só e é responsável pelo DCOM – ou seja, para tornar as classes e os objetos COM acessíveis pela rede.
Como o rpcrt4.dll e o rpcss.dll são ambos cruciais para o funcionamento normal do Windows (sem falar que o rpcrt4.dll é carregado em todos os processos que usam RPC), pode ser impossível mitigar o risco de uma forma que não seja a aplicação de patches.
Número de CVE |
Efeito |
Acesso necessário |
|---|---|---|
Execução de código remota |
Rede, autenticação necessária |
|
Elevação de privilégio |
||
Divulgação de informações |
Serviços abordados anteriormente
Muitas CVEs na Patch Tuesday deste mês destinam-se a sistemas que já abordamos no passado. Caso tenha interesse em nossa análise ou em recomendações gerais para esses serviços, recomendamos que visite nossas publicações anteriores.
Serviço |
Número de CVE |
Efeito |
Acesso necessário |
|---|---|---|---|
Execução de código remota |
Acesso à rede; requer a obtenção de uma condição de corrida |
||
Execução remota de código |
Rede |
||
Falsificação |
Autenticado com permissões de criação de página |
||
Falsificação |
Ataque XSS; o invasor deve ser autenticado |
||
Execução de código remota |
Autenticação necessária |
||
Divulgação de informações |
Este resumo fornece uma visão geral da nossa compreensão e das nossas recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações. Você também pode visitar nossa conta do Twitter para obter atualizações em tempo real.