X

Precisa de computação em nuvem? Comece agora mesmo

Logotipo da Akamai
+1-8774252624
+1-8774252624
Login
Control Center
Acesse a plataforma Akamai
Cloud Manager
Gerencie seus recursos de nuvem
Experimente a Akamai
Você está sob ataque?
Login
Control Center
Acesse a plataforma Akamai
Cloud Manager
Gerencie seus recursos de nuvem

Perspectiva da Akamai sobre a Patch Tuesday de dezembro de 2022

Para cada serviço afetado abordado neste relatório, tentamos oferecer recomendações de monitoramento e mitigação quando a aplicação de patches não é possível.

A Patch Tuesday de dezembro de 2022, da Microsoft, foi lançada,e o Grupo de inteligência sobre a segurança da Akamai se mobilizou para analisar as vulnerabilidades mais intrigantes que foram corrigidas. Parece que o Natal chegou mais cedo este ano, já que a atualização de dezembro está muito mais enxuta do que a dos meses anteriores. Talvez possamos nos apavorar um pouco menos antes das férias — pelo menos até o próximo sucessor do Log4Shell aparecer (já temos um concorrente à altura,então apliquem patches, pessoal!).

Neste relatório, avaliaremos o quão críticas as vulnerabilidades realmente são e quão comuns são as aplicações e os serviços afetados, e forneceremos uma perspectiva realista sobre os bugs que foram corrigidos. Fique atento a esses insights nos dias após cada Patch Tuesday. 

Este é um relatório de atualização e adicionaremos mais informações a ele à medida que nossa pesquisa progredir. Fique atento!

Confira a análise de novembro

Neste relatório, vamos nos concentrar em quatro áreas em que os bugs foram corrigidos:

Para cada serviço afetado abordado neste relatório, tentamos oferecer recomendações de monitoramento e mitigação quando a aplicação de patches não é possível.  É claro que nenhuma mitigação é tão boa quanto a aplicação de patches, portanto, corrija seus sistemas sempre que possível e os mantenha atualizados.

Windows PowerShell

O Windows PowerShell é uma ferramenta útil para administração e gerenciamento de sistemas, bem como para automação. Ele está disponível por padrão na maioria das versões do Windows. Neste mês, houve uma aplicação de patch referente a um CVE crítico, CVE-2022-41076. Ele obteve uma pontuação CVSS de 8,5. Este CVE é, na verdade, para o PowerShell Remote. O PowerShell é compatível com comandos remotos pelo protocolo WinRM. Ele não é ativado por padrão. Os servidores precisam ativar o PSRemoting antes que esse acesso ou comunicação seja feito. Uma exploração bem-sucedida do CVE permite que um invasor autenticado contorne a configuração da sessão PSRemote e execute comandos não aprovados.

Escopo

Como a comunicação do PowerShell Remote é transmitida pelo WinRM, podemos avaliar o escopo de uso procurando conexões WinRM. Em nossos ambientes monitorados, 77% tinham pelo menos uma máquina com o WinRM ativado, e nessas redes, uma média de 27% das máquinas monitoradas aceitavam conexões WinRM. Tínhamos algumas redes sem WinRM e algumas com mais de 95% das máquinas com WinRM ativado.

Recomendações gerais

A primeira e mais importante recomendação é sempre aplicar patches a todos os sistemas. Caso não seja possível aplicar patches imediatamente, podemos confiar em alguns aspectos do PowerShell Remote para mitigação de alguns riscos:

  • O PowerShell Remote e o WinRM não são ativados por padrão. Dessa forma, estão em risco somente as máquinas em que eles estão ativados. É possível descobrir se o WinRM está ativado conferindo se o serviço WinRM está em execução ou usando o comando PowerShell Test-WSMan. Além disso, se você tiver visibilidade de rede, poderá procurar comunicação pelas portas TCP 5985 e 5986, as portas padrão do WinRM.

  • Em máquinas com o WinRM ativado, é possível usar a microssegmentação para limitar o acesso apenas a fontes necessárias (por exemplo, somente equipes ou serviços de TI). Isso pode ser feito nas portas TCP 5985 e 5986, as portas padrão do WinRM. Para determinar quem ou o que deve ter acesso, recomendamos o uso de uma ferramenta de visibilidade de rede ou um detector de rede para observar os padrões de comunicação existentes.

  • Se você encontrar máquinas com o WinRM ativado que não estejam recebendo nenhuma conexão, ou considerar que o WinRm não precisa ser ativado, poderá desativá-lo.

Ao usar visibilidade, segmentação e desativação do uso desnecessário do serviço, você pode reduzir bastante o impacto do CVE, até encontrar tempo para aplicar patches no sistema.

Subsistema de tempo de execução do Windows Client/Server 

O CSRSS (Windows Client/Server Run-Time Subsystem, subsistema de tempo de execução do Windows Client/Server) é um processo do sistema responsável por uma variedade de funções em um computador Windows. Isso inclui a criação e a exclusão de processos e threads e o suporte para aplicações de console.

O processo csrss.exe é tão essencial que ele inicia em todas as máquinas Windows à medida que o sistema é inicializado e não pode ser encerrado. O encerramento desse processo causaria a temida tela azul da morte (falha do sistema).

Neste mês, um CVE de elevação de privilégios foi corrigido por patch no CSRSS, CVE-2022-44673, com uma pontuação CVSS de 7 e marcado como importante. De acordo com o relatório da Microsoft, um invasor que explora com sucesso essa vulnerabilidade pode obter privilégios SYSTEM

Embora a complexidade do ataque seja marcada como "alta", a Microsoft também menciona no relatório que "há bastante probabilidade de exploração", e como o CSRSS é executado em todas as máquinas Windows,a aplicação de patches é altamente recomendável. 

Microsoft Office

Não pode ser Natal sem alguns presentes, e os CVEs do Microsoft Office estão generosos neste mês. Há 10 vulnerabilidades, todas com uma pontuação CVSS de 7,8, com gravidade importante. Elas estão espalhadas por três produtos/componentes: Visio, OneNote e Microsoft Office Graphics.

O vetor de ataque

Embora todos os CVEs sejam marcados como execução remota de código, eles são, na verdade, vulnerabilidades de ACE (arbitrary code execution, execução arbitrária de código). Isso significa que um invasor não pode explorar as próprias vulnerabilidades. Em vez disso, precisa enganar o usuário para explorá-las por meio de engenharia social. Uma exploração bem-sucedida dessa vulnerabilidade requer a tentativa de enganar o usuário/vítima para que ele baixe um arquivo especialmente criado e, em seguida, abra-o no respectivo software vulnerável.

Manter os usuários finais atentos às tentativas de engenharia social pode ajudar a reduzir o risco de uma exploração bem-sucedida. Certifique-se de que os usuários finais estejam atentos a golpes de Natal, ou você poderá voltar das festas de fim de ano com um problema seríssimo em sua rede. Além disso, como essas aplicações geralmente não residem em servidores, pode ser mais fácil aplicar patches nos pontos de extremidade do usuário, já que o tempo de inatividade dele geralmente é menos dispendioso do que o tempo de inatividade do servidor.

CVEs

Número de CVE

Componente

CVE-2022-26804

Microsoft Office Graphics

CVE-2022-47212

CVE-2022-47213

CVE-2022-26805

CVE-2022-26806

CVE-2022-44692

CVE-2022-44694

Microsoft Office Visio

CVE-2022-44695

CVE-2022-44696

CVE-2022-44691

Microsoft Office OneNote

 

Serviços abordados anteriormente

Muitos CVEs na Patch Tuesday deste mês são para sistemas que já abordamos no passado, e não temos nada novo a dizer sobre como mitigá-los. Caso tenha interesse em nossa análise ou em recomendações gerais para esses serviços, recomendamos que visite nossas publicações anteriores.

 

Serviço

Número da CVE

Efeito

Acesso necessário

Microsoft SharePoint

CVE-2022-44690

Execução de código remota

Autenticado com permissões para Gerenciar lista

CVE-2022-44693

Windows Secure Socket Tunneling Protocol

CVE-2022-44676

Execução remota de código

Rede

CVE-2022-44670

Microsoft Dynamics

CVE-2022-41127

Execução de código remota

Conexão autenticada através de WCF TCP

Este resumo fornece uma visão geral da nossa compreensão e das nossas recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações.

Siga-nos no Twitter!

Publicações do blog relacionadas

Stiv Kupchik, pesquisador da Akamai, encontrou uma nova vulnerabilidade de elevação de privilégio (EoP) no cliente de registro remoto da Microsoft.
Stiv Kupchik, pesquisador da Akamai, encontrou uma nova vulnerabilidade de elevação de privilégio (EoP) no cliente de registro remoto da Microsoft.

Chamada e registro — ataque de retransmissão ao cliente WinReg RPC

October 19, 2024
Os pesquisadores da Akamai analisam uma nova vulnerabilidade que pode ser explorada para levar a ataques de elevação de privilégio contra computadores Windows.
por Stiv Kupchik
Leia mais
Esta derrubada é um grande passo para tornar a internet um lugar mais seguro.
Esta derrubada é um grande passo para tornar a internet um lugar mais seguro.

Derrubada do Anonymous Sudan: o papel da Akamai

October 16, 2024
O Departamento de Justiça anunciou a derrubada do Anonymous Sudan. Leia como a Akamai ajudou neste processo.
por Akamai SIRT
Leia mais
Este mês, temos um total de 117 CVEs em 60 componentes diferentes. Destas, três são críticas.
Este mês, temos um total de 117 CVEs em 60 componentes diferentes. Destas, três são críticas.

Perspectiva da Akamai sobre a Patch Tuesday de outubro de 2024

October 11, 2024
São muitas CVEs, mas não tenha medo: deixe para o Halloween. Este mês, temos um total de 117 CVEs e duas vulnerabilidades exploradas em uso.
por Akamai Security Intelligence Group
Leia mais