Perspectiva da Akamai sobre a Patch Tuesday de agosto de 2023
Assim como acontece todo mês, o grupo de inteligência de segurança da Akamai se mobilizou para analisar as vulnerabilidades mais intrigantes que foram corrigidas.
Este mês, foram lançadas 73 CVEs (vulnerabilidades e exposições comuns) e 3 recomendações. Esse valor é um pouco maior que a metade do mês passado, o que é bom, pois estamos na mira dos hackers, e quem tem tempo para correções, não é? Há seis CVEs críticas no Microsoft Teams, no Enfileiramento de Mensagens da Microsoft e no Microsoft Outlook. Há também uma vulnerabilidade de DoS (negação de serviço), CVE-2023-38180, no .NET Core e no Visual Studio, relatada como explorada no ecossistema, assim como uma CVE do nosso Ben Barnea.
Neste relatório, vamos nos concentrar nas seguintes áreas nas quais os bugs foram corrigidos:
Plataformas HTML do Windows (relatada pela Akamai)
.NET Core e Visual Studio (exploradas no ecossistema)
Neste relatório, avaliaremos o quanto as vulnerabilidades são realmente críticas e o quanto os aplicativos e serviços afetados são comuns para fornecer uma perspectiva realista sobre os bugs que foram corrigidos. Você também pode ver um rápido resumo do patch em nossa conta do Twitter. Atente-se a esses insights nos dias após cada Patch Tuesday.
Este é um relatório de atualização e vamos incluir mais informações, conforme nossa pesquisa avança. Fique atento!
Vulnerabilidade relatada por um pesquisador da Akamai
CVE-2023-35384 — Plataformas HTML do Windows (CVSS 5.4)
Apesar da baixa gravidade atribuída a essa vulnerabilidade, ela tem um histórico e consequências bastante interessantes. Ben Barnea encontrou-a durante sua análise do Patch Tuesday de maio, e ela foi corrigida nesse mês.
Inicialmente, a Microsoft corrigiu a CVE-2023-23397, uma vulnerabilidade crítica de elevação de privilégio (EoP) no Outlook que havia sido explorada no ecossistema. Essa vulnerabilidade permitia que um invasor enviasse um e-mail à vítima, acionasse uma conexão SMB com o servidor controlado pelo invasor e, como resultado, interceptasse (e possivelmente desvendasse ou retransmitisse) as credenciais NTLM. Essa era uma vulnerabilidade de zero clique que poderia ser explorada por um invasor não autenticado de qualquer lugar na Internet.
A correção do CVE-2023-23397 adicionou uma verificação para classificar um caminho como local, intranet, internet etc. Essa verificação podia ser ignorada pelo fornecimento de um caminho especialmente criado, como explicamos e demonstramos em uma publicação anterior no blog.
A CVE-2023-35384 deste mês é mais um desvio da correção da Microsoft. Está confuso? Vamos explicar para você:
Vulnerabilidade de EoP crítica original no Microsoft Outlook |
Relatada pela Equipe de Resposta a Emergências de Computadores na Ucrânia (CERT) |
|
Desvio da correção da CVE-2023-23397, corrigida em maio |
Relatada pelo pesquisador da Akamai, Ben Barnea |
|
Outro desvio da correção de CVE-2023-23397, corrigida neste mês (agosto) |
Planejamos compartilhar os detalhes da CVE-2023-35384 e demonstrar sua exploração de uma forma surpreendente, por isso, esteja atento à publicação.
Vulnerabilidade explorada no ecossistema
CVE-2023-38180 — .NET Core e Visual Studio (CVSS 7.5)
Essa é uma vulnerabilidade de DoS, mas não há observações, perguntas frequentes ou confirmações lançadas com esta CVE. Portanto, é quase impossível especular sobre a causa raiz. No entanto, como o vetor de ataque é a rede, temos algumas pistas. Isenção de responsabilidade: O parágrafo a seguir é puramente especulativo.
De acordo com os resultados de nossos testes em instâncias instaladas localmente do Visual Studio, esta CVE não parece estar escutando conexões de entrada (embora tenhamos visto conexões de saída do processo). Por isso, é mais provável que o vetor de ataque não seja alcançado pelos invasores que chegam diretamente ao processo pela rede, mas pelo envio de algum arquivo mal-intencionado para a vítima, que, em seguida, trava a instância do Visual Studio e do .NET Core.
Enfileiramento de Mensagens da Microsoft
Houve 11 vulnerabilidades no serviço de Enfileiramento de Mensagens da Microsoft (MSMQ) corrigidas este mês. Três vulnerabilidades críticas da execução remota do código 9.8 (RCE), seis vulnerabilidades de DoS e duas vulnerabilidades de divulgação de informações.
O serviço MSMQ é um recurso opcional no Windows, usado para entregar mensagens entre diferentes aplicativos. Apesar de ser opcional, ele é usado em segundo plano por muitas aplicações empresariais para Windows, como o Microsoft Exchange Server. Em nossas observações, encontramos o serviço instalado em quase 69% dos ambientes, geralmente em mais de uma máquina.
Como o serviço MSMQ é acessível pela porta 1801, mas não deve ser acessado por tantos clientes (já que é usado principalmente pela própria aplicação empresarial), recomendamos restringir o acesso arbitrário à rede a essa porta e serviço. Tente segmentá-lo usando políticas de lista de permissões, permitindo o acesso apenas às máquinas que realmente precisam dele. Para obter ajuda com a segmentação, consulte nossa publicação no blog (Micros)Segmentação sob uma perspectiva prática (e especificamente para as seções de delimitação de aplicação e de microssegmentação ).
Número de CVE |
Efeito |
Acesso necessário |
|---|---|---|
Execução de código remota |
Rede |
|
Negação de serviço |
||
Divulgação de informações |
||
Microsoft Exchange Server
Este mês, houve seis CVEs no Microsoft Exchange Server, quatro delas permitem a execução de código remota no servidor remoto, e as outras duas são vulnerabilidades de EoP ou falsificação. Em nossas observações, vimos que aproximadamente 28% dos ambientes tinham Microsoft Exchange Servers no local.
A CVE de EoP, CVE-2023-21709, na verdade, é a CVE com a pontuação mais alta do CVSS (9.8), apesar de ser categorizada como "Importante", e não como "Crítica", no quesito de gravidade. De acordo com a Microsoft, a vulnerabilidade pode permitir que invasores forcem a senha de um usuário do Exchange e façam login como ele. A gravidade “Importante” se deve ao fato de que os ataques de força bruta não devem funcionar contra usuários com senhas complexas.
Para esta CVE, a simples aplicação de correções não é suficiente. A Microsoft oferece um script adicional, CVE-2023-21709.ps1, que administradores precisam executar após a instalação da correção. Como alternativa, o seguinte comando funcionará:
Clear-WebConfiguration -Filter "/system.webServer/globalModules/add[@name='TokenCacheModule']" -PSPath "IIS:\"
A Microsoft também menciona que executar o script (ou o comando acima) pode resolver a vulnerabilidade em vez de aplicar correções, mas eles (e nós) recomendamos fortemente a aplicação de correções o mais rápido possível.
Número de CVE |
Efeito |
Acesso necessário |
|---|---|---|
Execução de código remota |
Rede |
|
Rede adjacente |
||
Elevação de privilégio |
Rede |
|
Falsificação |
Microsoft Teams
O Microsoft Teams é a plataforma de comunicação, mensagens e videoconferência de propriedade da Microsoft e faz parte do Microsoft 365. Este mês, há duas CVEs críticas de execução de código remota no Teams. Ambas exigem que o usuário ingresse ativamente em uma reunião mal-intencionada configurada pelo agente da ameaça. Os agentes da ameaça podiam então executar remotamente o código no contexto do usuário vítima.
Em nossas observações, 44% dos ambientes tinham o Microsoft Teams em execução.
Número de CVE |
Efeito |
Acesso necessário |
|---|---|---|
Execução de código remota |
Rede |
|
Serviços abordados anteriormente
Muitas CVEs na Patch Tuesday deste mês destinam-se a sistemas que já abordamos no passado. Caso tenha interesse em nossa análise ou recomendações gerais sobre esses serviços, recomendamos que consulte nossas perspectivas anteriores nas postagens do blog da Patch Tuesday.
Serviço |
Número de CVE |
Efeito |
Acesso necessário |
|---|---|---|---|
Falsificação |
Rede |
||
Divulgação de informações |
|||
Execução de código remota |
Rede |
||
Execução de código arbitrária |
Local |
||
Divulgação de informações |
Local |
||
