Perspectiva da Akamai sobre a Patch Tuesday de abril de 2024
Feliz Eid-al-Fitr, Feliz Páscoa e Feliz Páscoa Judaica. Abril é tradicionalmente o mês dos feriados, mas onde há CVEs, é lá que a Microsoft está. A Patch Tuesday de abril de 2024 tem um total de 147 CVEs, e três delas são críticas no Microsoft Defender para IoT. Havia também uma CVE em ambiente real: um certificado da Microsoft sendo usado para assinar cargas úteis mal-intencionadas.
Nesta publicação do blog, avaliaremos quão críticas são as vulnerabilidades e o quanto as aplicações e os serviços afetados são comuns, oferecendo uma perspectiva realista sobre os bugs que foram corrigidos. Atente-se a esses insights nos dias após cada Patch Tuesday.
Este é um relatório contínuo, e traremos mais informações, conforme o avanço da nossa pesquisa. Fique atento!
Neste mês, estamos abordando as seguintes áreas em que os bugs foram corrigidos:
Driver de proxy
O Sophos X-Ops detectou uma carga útil mal-intencionada com uma assinatura do Microsoft Windows Hardware Compatibility Publisher em uma tentativa de se disfarçar como legítima. Ele relatou suas descobertas à Microsoft, e o CVE-2024-26234 é a revogação do certificado envolvido, de modo que ele não passaria mais como confiável.
É possível procurar cargas úteis com a assinatura afetada usando o Insight. Os clientes interessados podem executar a seguinte consulta para verificar se há algum processo em execução assinado com o certificado revogado:
SELECT issuer_name, path
FROM authenticode
WHERE
path IN (SELECT DISTINCT path FROM processes)
AND
serial_number = '3300000057ee4d659a923e7c10000000000057'
AND
subject_name = 'Microsoft Windows Hardware Compatibility Publisher'
Microsoft Defender para IoT
O Microsoft Defender para IoT é uma plataforma de segurança que ajuda a defender componentes de rede industrial, como dispositivos de IoT (Internet das Coisas), sistemas de controle industrial e tecnologia operacional. Há três vulnerabilidades críticas de RCE (execução remota de código) corrigidas este mês e três vulnerabilidades importantes de EoP (elevação de privilégio).
As vulnerabilidades em si afetam os diferentes componentes do Defender para a pilha da IoT. A CVE-2024-21322 é uma RCE que é explorada por meio da aplicação da Web do portal, enquanto a CVE-2024-21323 é uma RCE que é explorada por meio de um pacote de atualização de sensor. Independentemente do componente, todas as vulnerabilidades são exploráveis pela rede, portanto, pode ser possível detectar ou reduzir parte do risco usando a segmentação de rede.
Número de CVE |
Efeito |
|---|---|
Execução remota de código |
|
Elevação de privilégio |
|
RRAS (serviço de roteamento e acesso remoto do Windows)
O RRAS (serviço de roteamento e acesso remoto do Windows) é um serviço do Windows que permite que o sistema operacional se comporte como um roteador, permitindo conexões entre websites usando VPNs ou discagens. Há três vulnerabilidades críticas no serviço este mês, todas com a pontuação CVSS de 8,8. As notas de patch não nos dizem muito, exceto que as vulnerabilidades da RCE são acionadas por um servidor mal-intencionado em um cliente desavisado. Dessa forma, é possível mitigar alguns dos riscos impostos por essas vulnerabilidades por meio da Zero Trust e da segmentação.
O RRAS não está disponível em todos os servidores Windows. Ele vem como parte da função de acesso remoto e precisa ser instalado especificamente. Em nossas observações, vimos que aproximadamente 12% dos ambientes monitorados possuem servidores Windows com a função de acesso remoto instalada.
Além do RRAS, o patch deste mês contém várias CVEs no Gerenciador de conexão de acesso remoto. Os dois serviços estão relacionados, pois o Gerenciador de conexão é usado para organizar perfis de conexão com o RRAS (entre outros).
Número de CVE |
Componente |
Efeito |
|---|---|---|
RRAS |
Execução remota de código |
|
Gerenciador de conexão |
Elevação de privilégio |
|
Divulgação de informações |
||
Autenticação do Windows
Autenticação do Windows é um termo bastante amplo, pois há vários métodos, protocolos e provedores de autenticação compatíveis com o Windows. Os dois CVEs na Autenticação do Windows são para dois componentes completamente diferentes.
A CVE-2024-21447 é uma vulnerabilidade EoP no serviço de gerenciamento de usuários, possivelmente devido a restrições indevidas de diretório. É um desvio do CVE-2023-36047, pois aparentemente foi uma correção parcial.
A CVE-2024-29056, no entanto, parece ser um problema na implementação da validação de PAC Kerberos, de acordo com a seção de perguntas frequentes e artigos relacionados da base de conhecimento. Ele também está possivelmente relacionado a outros CVEs Kerberos.
Número de CVE |
Componente |
Efeito |
|---|---|---|
Gerenciamento de usuários |
Elevação de privilégio |
|
Validação de PAC Kerberos |
||
Kerberos do Windows |
Negação de serviço |
Serviços abordados anteriormente
Muitas CVEs na Patch Tuesday deste mês destinam-se a sistemas que já abordamos no passado. Caso tenha interesse em nossa análise ou recomendações gerais sobre esses serviços, recomendamos que consulte nossas perspectivas anteriores nas postagens do blog da Patch Tuesday.
Serviço |
Número de CVE |
Efeito |
Acesso necessário |
|---|---|---|---|
Divulgação de informações |
Local |
||
Execução remota de código |
Local, interação do usuário necessária |
||
Rede |
|||
Desvio do recurso de segurança |
Rede, interação do usuário necessária |
Este resumo fornece uma visão geral da nossa compreensão e das nossas recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações. Você também pode nos visitar no X, antigo Twitter, para receber atualizações em tempo real.