Perspectiva da Akamai sobre a Patch Tuesday de dezembro de 2023
Esta é a última Patch Tuesday do ano, pessoal, e parece que a Microsoft já está em clima de festas, pois há apenas 33 CVEs corrigidas este mês. A Akamai, no entanto, ainda está trabalhando: uma CVE de um de nossos próprios colegas, Ben Barnea, está no patch.
Assim como acontece todo mês, o grupo de inteligência de segurança da Akamai se mobilizou para analisar as vulnerabilidades mais intrigantes que foram corrigidas. Das 33 CVEs corrigidas este mês, quatro são críticas (mas apenas três podem alcançar execução remota de código [RCE]), com a pontuação CVSS mais alta sendo 9,6. Nenhuma CVE foi reportada como divulgada publicamente ou explorada no ecossistema este mês.
Neste relatório, avaliaremos o quanto as vulnerabilidades são realmente críticas e o quanto as aplicações e serviços afetados são comuns para oferecer uma perspectiva realista sobre os bugs que foram corrigidos. Atente-se a esses insights nos dias após cada Patch Tuesday.
Este é um relatório de atualização e vamos incluir mais informações, conforme o avanço de nossa pesquisa. Fique atento!
Este mês, nos concentramos nas seguintes áreas nas quais os bugs foram corrigidos:
Plataforma MSHTML do Windows
Esta é uma vulnerabilidade de RCE no componente MSHTML, encontrada pelo pesquisador da Akamai Ben Barnea.
MSHTML é um renderizador de página da Web para o sistema operacional Windows. Ele expõe uma interface Component Object Model (COM) para permitir que os programas adicionem recursos de renderização da Web. É usado pelo Internet Explorer, o modo Internet Explorer do Microsoft Edge, o Microsoft Outlook e vários outros programas.
Como mencionado no comunicado da Microsoft, essa vulnerabilidade pode ser usada contra clientes do Outlook e pode ser acionada antes que o e-mail seja exibido. É uma vulnerabilidade de corrupção de memória fácil de acionar, mas a exploração é complexa.
Compartilharemos mais detalhes técnicos, incluindo informações sobre um vetor adicional (que não seja o e-mail) que aciona essa vulnerabilidade nas próximas semanas.
Microsoft Edge (baseado no Chromium)
O Microsoft Edge é um navegador da Web proprietário compatível entre plataformas. Embora tenha sido inicialmente desenvolvido com ferramentas proprietárias, a Microsoft migrou totalmente o navegador para usar o projeto de código-fonte aberto Chromium do Google em 2020.
Há três CVEs relacionadas ao Microsoft Edge este mês: duas vulnerabilidades de divulgação de informações de baixa gravidade, CVE-2023-38174 e CVE-2023-36880, e uma vulnerabilidade de elevação de privilégio (EoP) de gravidade moderada, CVE-2023-35618. Todas as vulnerabilidades exigem que o invasor engane o usuário e o faça visitar um site ou abrir um link, ou seja, cair em ataques de phishing.
Curiosamente, embora a vulnerabilidade EoP seja classificada como gravidade moderada, sua pontuação CVSS é muito alta: 9,6. A razão para esta disparidade é a complexidade necessária para acionar a vulnerabilidade. De acordo com a Microsoft, para acionar a vulnerabilidade, o invasor deve induzir o usuário a abrir uma página da Web ou um servidor que esteja hospedando conteúdo especialmente criado e, em seguida, induzi-lo a abrir um arquivo especialmente criado. Esse processo de várias etapas reduziu a gravidade, de acordo com as diretrizes do programa de recompensa da Microsoft.
O Microsoft Edge vem por padrão com o sistema operacional Windows. A partir de nossas observações, é o navegador mais usado em redes corporativas. É usado por 52% das máquinas que executam um navegador.
Conector da Microsoft Power Platform
A Microsoft Power Platform é um conjunto de ferramentas e produtos que ajudam no desenvolvimento de apps e business intelligence. Um conector é um proxy ou um wrapper de API que permite que um serviço se comunique com produtos da Power Platform.
Há uma única CVE crítica este mês, CVE-2023-36019, com uma pontuação básica de 9,6. A CVE permite que os invasores manipulem links, aplicações ou arquivos para induzir os usuários a pensar que estão interagindo com um aplicativo legítimo. Como as notas de patch mencionam conectores personalizados (conectores criados por você mesmo quando não há opções disponíveis na Microsoft), assumimos que é aí que está a vulnerabilidade. As notas do patch também mencionam que os conectores personalizados precisam ser atualizados para receber um URI de redirecionamento por conector.
Nossa hipótese é que os conectores conseguiram compartilhar seus URIs de redirecionamento, o que permitiu que os invasores falsificassem conectores ou alvos para induzir os usuários a se conectarem ao local errado.
A Microsoft disse que entrou em contato com os clientes afetados por meio do Centro de Administração do Microsoft 365 ou do Service Health no Portal Azure.
Internet Connection Sharing
O ICS (Internet Connection Sharing) é um serviço do Windows que permite que um computador conectado à Internet compartilhe sua conexão com outros computadores na rede local. O computador que executa o serviço ICS fornecerá serviços DHCP (Dynamic Host Configuration Protocol) e NAT (Network Address Translation) para computadores adjacentes que o utilizam.
Há três CVEs este mês, duas vulnerabilidades críticas de RCE com uma pontuação CVSS 8,8 e outra vulnerabilidade de negação de serviço (CVE-2023-35642) com uma pontuação CVSS de 6,5 e gravidade importante.
As vulnerabilidades críticas estão na parte DHCP do serviço ICS. A CVE-2023-35641 exige que o invasor envie um pacote DHCP especificamente criado para obter RCE.
A CVE-2023-35630 exige que o invasor modifique um campo de tamanho de opção em uma mensagem de entrada DHCPv6, DHCPV6_MESSAGE_INFORMATION_REQUEST. Ambas as vulnerabilidades permitem que invasores obtenham RCE no computador do serviço ICS.
O ICS está disponível por padrão em instalações modernas do Windows (estações de trabalho e servidores) e geralmente é definido para ser o início do acionador, ou seja, ele seria iniciado após uma conexão RPC com a interface do servidor RPC auxiliar NAT IP.
Você pode usar a seguinte consulta no recurso Insight da Akamai Guardicore Segmentation para procurar o serviço ICS e seu status:
SELECT status, start_type FROM services WHERE name='SharedAccess'
Em nossas observações, 27% dos ambientes tinham um serviço ICS em execução em algumas de suas máquinas. Geralmente, menos de 1% das máquinas estavam executando o serviço ICS em uma única rede.
Serviços abordados anteriormente
Muitas CVEs na Patch Tuesday deste mês destinam-se a sistemas que já abordamos no passado. Caso tenha interesse em nossa análise ou recomendações gerais sobre esses serviços, recomendamos que consulte nossas perspectivas anteriores nas postagens do blog da Patch Tuesday.
Serviço |
Número de CVE |
Efeito |
Acesso necessário |
|---|---|---|---|
Negação de serviço |
Rede |
||
Negação de serviço |
Rede |
||
Divulgação de informações |
|||
Execução de código remota |
Rede |
||
Este resumo fornece uma visão geral da nossa compreensão e das nossas recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações. Você também pode nos visitar no X, antigo Twitter, para receber atualizações em tempo real.
