Perspectiva da Akamai sobre a Patch Tuesday de agosto de 2024
Las Vegas vem sofrendo atualmente com uma invasão de hackers, que exploram tudo em todos os lugares. Parece que a região do Oeste estadunidense é mesmo agitada, conforme evidenciado por esta Patch Tuesday, com seis vulnerabilidades exploradas livremente. Das 89 CVEs lançadas na Patch Tuesday de agosto de 2024, quatro delas foram divulgadas publicamente e uma apresentada na Black Hat. Este mês também contou com um comunicado.
Assim como acontece todo mês, o grupo de inteligência de segurança da Akamai se mobilizou para analisar as vulnerabilidades mais intrigantes que foram corrigidas.
Nesta publicação do blog, avaliaremos quão críticas são as vulnerabilidades e o quanto os aplicativos e serviços afetados são comuns, oferecendo uma perspectiva realista sobre os bugs que foram corrigidos. Atente-se a esses insights nos dias após cada Patch Tuesday.
Este é um relatório contínuo, e traremos mais informações, conforme o avanço da nossa pesquisa. Fique atento!
Neste mês, concentramo-nos nas seguintes áreas em que os bugs foram corrigidos:
- Corrupção de memória do mecanismo de script (explorada livremente)
- Desvio do recurso de segurança de Mark-of-the-Web do Windows (explorado livremente)
- TCP/IP do Windows
- Virtualização de rede do Windows
- RRAS (Windows Routing and Remote Access Service, serviço de roteamento e acesso remoto do Windows)
- Microsoft Outlook
Vulnerabilidades em livre exploração
CVE-2024-38178 — Corrupção de memória do mecanismo de script (CVSS 7,5)
As linguagens de script do Windows podem se referir a várias implementações de linguagens de script dentro do Windows, como VBScript, JavaScript ou outras. Notamos que o arquivo jscript9.dll foi alterado, então presumimos que a vulnerabilidade corrigida está no componente do JScript.
JScript é a implementação do ECMAScript pela Microsoft, o mesmo padrão por trás do JavaScript e usado pelo Internet Explorer. Chakra também é um mecanismo JavaScript, derivado do JScript, e é usado pelo Microsoft Edge Legacy (versões mais recentes do Edge são baseadas no Chromium). Ambos são implementados como DLLs, convenientemente nomeados jscript9.dll e chakra.dll.
De acordo com o comunicado, um ataque requer que a vítima clique em um link e use o Edge no modo Internet Explorer. Nossa teoria é de que essa vulnerabilidade também possa ser acionada de outras maneiras, possivelmente por meio do Office.
CVE-2024-38213 — Mark-of-the-Web do Windows (CVSS 6,5)
É importante observar que essa vulnerabilidade foi corrigida em junho de 2024, mas o comunicado não foi lançado até agosto de 2024.
Esta é uma vulnerabilidade de desvio de segurança, que ignora o aviso de segurança do SmartScreen ao abrir arquivos mal-intencionados que foram baixados da Web. Nesse cenário, o Windows SmartScreen é responsável por exibir uma tela de aviso. A vulnerabilidade requer que o invasor crie um arquivo de uma maneira específica que fará com que o Windows SmartScreen falhe ao verificar o arquivo e, portanto, ignore a tela de aviso.
Não é a primeira vez que vulnerabilidades de desvio de controles de segurança do SmartScreen são livremente exploradas por invasores. As correções de novembro de 2023 e fevereiro de 2024 também incluíram soluções para vulnerabilidades de desvio que foram relatadas como ativamente exploradas.
Havia também outras quatro vulnerabilidades exploradas livremente.
TCP/IP do Windows
A pilha TCP/IP no Windows é um componente central da funcionalidade de rede do sistema operacional. Ela lida com o transporte de dados entre redes usando o conjunto de protocolos TCP/IP, que é a base da comunicação pela Internet e pela maioria das redes locais.
No sistema operacional Windows, a pilha TCP/IP é implementada no driver tcpip.sys. Este módulo do kernel é responsável por lidar com protocolos de rede, incluindo TCP por camadas de transporte, como IPv4 e IPv6.
CVE-2024-38063 (CVSS 9,8) é uma vulnerabilidade crítica nesta pilha de rede que permite que um invasor não autenticado envie pacotes IPv6 especialmente criados que podem levar à execução remota de código.
Uma publicação notável do blog feita pela equipe do Microsoft Security Response Center levantou a discussão sobre CVEs fundadas anteriormente neste componente, onde ataques de RCE (execução remota de código) e de negação de serviço (DoS) podem ser realizados usando pacotes criados para fins maliciosos. A CVSS indica que a complexidade do ataque é baixa (AC:L) em contraste com os achados anteriores.
De acordo com a Microsoft, as máquinas com IPv6 desativado estão protegidas contra esta vulnerabilidade. Acreditamos que essa vulnerabilidade possa ser usada por agentes mal-intencionados devido ao uso disseminado do IPv6, à baixa complexidade do ataque e ao fato de ele ser acessível por invasores não autenticados; portanto, façam correções em suas máquinas!
Você pode usar o OSQuery a seguir para detectar adaptadores de rede que estejam ativados e tenham um endereço IPv6:
SELECT interface_details.connection_id, interface_addresses.address
FROM interface_details
JOIN interface_addresses ON interface_addresses.interface =
interface_details.interface
WHERE enabled=1 AND interface_addresses.address like "%::%";
Virtualização de rede do Windows
A Virtualização de rede do Windows (WNV) é um recurso dentro da estrutura de virtualização de rede do Hyper-V que permite que as máquinas virtuais (VMs) se comuniquem como se estivessem na mesma sub-rede, mesmo quando estiverem em sub-redes ou redes físicas diferentes. Isso é possível pela dissociação de redes virtuais da rede física, permitindo que as VMs se movam pelos hosts físicos sem alterar as configurações de rede.
A WNV usa o encapsulamento de roteamento genérico de virtualização de rede (NVGRE) ou Virtual Extensible LAN (VXLAN) para encapsulamento de pacotes, fornecendo isolamento, escalabilidade e suporte multilocatário em ambientes de nuvem.
CVE-2024-38159 e CVE-2024-38160 podem levar a um escape de convidado para host, que por sua vez poderia terminar em RCE. Embora ambas as vulnerabilidades tenham uma CVSS de 9,1, elas afetam apenas o Windows Server 2016 e o Windows 10 (1607).
A Microsoft sugere que as vulnerabilidades sejam mitigadas por meio da execução das máquinas com Hyper-V dentro de outra plataforma virtual, como VMware, ou da desistência completa da virtualização baseada no Hyper-V.
RRAS (Windows Routing and Remote Access Service, serviço de roteamento e acesso remoto do Windows)
O RRAS (serviço de roteamento e acesso remoto do Windows) é um serviço do Windows que permite que o sistema operacional se comporte como um roteador, autorizando conexões entre websites usando VPNs ou discagens. Há seis vulnerabilidades no serviço este mês, cinco delas com pontuação CVSS de 8,8.
As notas de patch não nos dizem muito, exceto que as vulnerabilidades da RCE são acionadas por um servidor mal-intencionado em um cliente desavisado. Dessa forma, é possível mitigar alguns dos riscos impostos por essas vulnerabilidades por meio de Zero Trust e segmentação.
O RRAS não está disponível em todos os servidores Windows. Ele vem como parte da função de acesso remoto e deve ser instalado especificamente. Vimos que aproximadamente 12% dos ambientes monitorados possuem servidores Windows com a função de acesso remoto instalada.
Microsoft Outlook
Parece que não existem mais Patch Tuesdays sem uma vulnerabilidade do Outlook. CVE-2024-38173 é uma vulnerabilidade de RCE no Outlook. Embora o Painel de visualização seja um vetor de ataque, a vulnerabilidade exige o uso das credenciais da vítima.
Para acionar a vulnerabilidade, um formulário mal-intencionado é carregado no Exchange. Quando o Outlook da vítima é sincronizado com o Exchange, ele baixa o formulário mal-intencionado, que pode levar à execução de código na máquina da vítima. Essa vulnerabilidade foi descoberta pela Morphisec e acreditamos que ela seja semelhante à CVE-2024-30103.
Serviços abordados anteriormente
Muitas CVEs na Patch Tuesday deste mês destinam-se a sistemas que já abordamos no passado. Caso tenha interesse em nossa análise ou recomendações gerais sobre esses serviços, recomendamos que consulte nossas perspectivas anteriores nas postagens do blog da Patch Tuesday.
Este resumo fornece uma visão geral da nossa compreensão e das nossas recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações. Você também pode nos visitar no X, antigo Twitter, para receber atualizações em tempo real.