Perspectiva da Akamai sobre a Patch Tuesday de dezembro de 2024
Qual é o sentido dos calendários do Advento? Mostre tudo de uma vez e agora. E por tudo, queremos dizer CVEs. Neste mês, temos um total de 71 CVEs em 32 componentes diferentes. Desses CVEs, 17 são críticos e um foi observado em ambiente real.
Nesta publicação do blog, avaliaremos quão críticas são as vulnerabilidades e o quanto os aplicativos e serviços afetados são comuns, oferecendo uma perspectiva realista sobre os bugs que foram corrigidos. Atente-se a esses insights nos dias após cada Patch Tuesday.
Este é um relatório contínuo, e traremos mais informações, conforme o avanço da nossa pesquisa. Fique atento!
Neste mês, concentramo-nos nas seguintes áreas em que os bugs foram corrigidos:
Driver do sistema de arquivos de log comum do Windows
O Common Log File System é uma API no Windows que fornece recursos de registro de alto desempenho. Para interagir com ele, os desenvolvedores e programas contam com o arquivo DLL Clfsw32.dll, que é um componente do modo de usuário. Nos bastidores, no entanto, a lógica é implementada em um driver de kernel – clfs.sys. As vulnerabilidades corrigidas este mês provavelmente estão neste driver do kernel.
Isso é importante destacar porque os invasores podem usar esse driver legítimo como uma técnica de escalonamento de privilégios, mesmo em um sistema corrigido, por meio de um ataque "traga seu próprio driver vulnerável" (BYOVD) .
Há três CVEs – todos para escalonamento de privilégios locais. Apenas um deles, o CVE-2024-49138, foi detectado em ambiente real – CVE-2024-49138.
Número da CVE |
Efeito |
---|---|
Elevação de privilégio |
|
LDAP (Lightweight Directory Access Protocol) do Windows
O Protocolo leve de acesso a diretórios (LDAP) do Windows é um protocolo de código aberto projetado para conectar e consultar serviços de diretórios e bancos de dados. O controlador de domínio do Active Directory tem uma implementação de servidor LDAP para permitir que programas e servidores existentes que dependem do LDAP usem o controlador de domínio existente sem exigir um servidor separado.
Este mês, há quatro vulnerabilidades no serviço LDAP que afetam controladores de domínio não corrigidos. Duas são vulnerabilidades de execução remota de código (RCE) e duas são vulnerabilidades de negação de serviço (DoS). Nenhuma das quatro requer autenticação.
Número da CVE |
Efeito |
---|---|
Execução remota de código |
|
Negação de serviço |
|
Há também outra vulnerabilidade de execução remota de código (RCE), o CVE-2024-49124atribuída ao cliente LDAP. No entanto, suas notas referem-se à exploração no lado do servidor. Ainda não está claro se ela afeta o cliente ou o servidor.
Não podemos corrigir nosso controlador de domínio e arriscar ter tempo de inatividade. As vulnerabilidades podem ser mitigadas em outro lugar?
Não exatamente. Como o controlador de domínio é parte integrante de todas as partes do domínio, é praticamente impossível restringir o acesso a ele sem comprometer as operações normais da rede. Mesmo rastrear as vulnerabilidades pode ser difícil, já que elas não exigem autenticação. As equipes de resposta a incidentes podem estar à procura de sessões LDAP de curta duração que não tenham uma resposta do servidor. Isso pode indicar uma tentativa de exploração.
Em qualquer caso, certifique-se de que os controladores de domínio não estejam expostos à internet.
Serviços de Área de Trabalho Remota do Windows
A Área de Trabalho Remota do Windows é usada para conexão da área de trabalho remota entre máquinas Windows por meio do Remote Desktop Protocol (RDP). Há várias vulnerabilidades neste mês em diferentes componentes da Área de Trabalho Remota do Windows, por isso vamos discuti-las todas juntas.
Os principais são, claro, as nove vulnerabilidades críticas de execução remota de código (RCE) no servidor de área de trabalho remota. Um invasor "só" precisa se conectar a um servidor RDP, enviar spam com pacotes malformados e ganhar uma condição de corrida, o que pode ser aproveitado para uma RCE.
Como o RDP é muito comum em redes e pode ser usado para o movimento lateral, recomendamos criar regras de política ao redor dele. Em nossas observações, 96% das redes tinham tráfego RDP do Windows, e 20% das redes não tinham restrições em partes desse tráfego. O lado positivo aqui é que a maioria das CVEs se refere especificamente a servidores com a função Remote Desk Gateway, apesar de serem tituladas como afetando todos os serviços de Área de Trabalho Remota do Windows. Os Gateways de Área de Trabalho Remota são menos comuns e, em nossa observação, apenas 36% dos ambientes tiveram esses.
Número da CVE |
Efeito |
---|---|
Negação de serviço |
|
Execução remota de código |
|
Execução remota de código, lado do cliente |
A restrição do acesso ao RDP entre máquinas de usuários ou apenas a servidores pré-autorizados (como jump boxes) pode reduzir bastante o risco apresentado por essas vulnerabilidades. Nós cobrimos algumas vitórias rápidas em relação ao RDP em nossa postagem do blog de segmentação. Independentemente da política, recomendamos que você aplique patches o mais rápido possível.
MSMQ (Microsoft Message Queuing)
O serviço Microsoft Message Queuing (MSMQ) é um recurso opcional do Windows usado para enviar mensagens entre diferentes aplicações. Apesar de ser opcional, ele é usado em segundo plano por muitas aplicações empresariais para Windows, como o Microsoft Exchange Server. Em nossas observações, encontramos o serviço instalado em quase 70% dos ambientes, geralmente em mais de uma máquina.
Este mês, há duas vulnerabilidades críticas de RCE em rede, que podem permitir que invasores executem código remotamente ao enviar um pacote especialmente elaborado para o servidor MSMQ da vítima — sem necessidade de autenticação. Há também outra vulnerabilidade de DoS.
Como o serviço MSMQ é acessível pela porta 1801, mas não é frequentemente acessado por muitos clientes, (já que é usado principalmente pelo próprio aplicativo corporativo), recomendamos restringir o acesso arbitrário à rede a essa porta e serviço. Tente segmentar o serviço usando políticas de lista de permissões, permitindo o acesso apenas aos computadores que realmente precisam dele. Você pode consultar nossa publicação no blog sobre segmentação, especificamente nas seções de delimitação de aplicação e software para obter mais informações.
Número da CVE |
Efeito |
---|---|
Execução remota de código |
|
Negação de serviço |
Serviço de subsistema de autoridade de segurança local do Windows (LSASS)
O serviço de subsistema de autoridade de segurança local do Windows, ou (LSASS) é um processo central do sistema operacional Windows. Está sendo executado em modo de usuário, mas como um processo protegido, sendo responsável pelo gerenciamento de acesso e segurança — nomeadamente, o logon do usuário, a verificação de senha e o gerenciamento de tokens de segurança.
Uma tática comum usada por invasores e equipes de simulação de ataque (red teamers) era despejar a memória do processo para obter as senhas de usuário armazenadas dentro dela. A Microsoft colocou um fim a isso adicionando cada vez mais mecanismos de segurança ao processo, como torná-lo um processo protegido e, recentemente, também utilizando o Hyper-V para isolá-lo do modo de usuário regular. Isso é importante.
Como o processo responsável pelos logons, ele também está sempre ouvindo em alguns componentes de rede, nomeadamente na forma de servidores RPC. O RCE crítico deste mês, o CVE-2024-49126, está relacionada a um desses componentes: Uma condição de corrida pode permitir que um invasor remoto execute código arbitrário no processo sem a necessidade de autenticação.
Serviços abordados anteriormente
Muitas CVEs na Patch Tuesday deste mês destinam-se a sistemas que já abordamos no passado. Caso tenha interesse em nossa análise ou recomendações gerais sobre esses serviços, recomendamos que consulte nossas perspectivas anteriores nas postagens do blog da Patch Tuesday.
Serviço |
Número da CVE |
Efeito |
Acesso necessário |
---|---|---|---|
Execução de código arbitrária |
Rede; o usuário precisa abrir um arquivo mal-intencionado |
||
Elevação de privilégio |
Rede |
||
Divulgação de informações |
|||
RRAS (Windows Routing and Remote Access Service, serviço de roteamento e acesso remoto do Windows) |
Execução remota de código |
Rede |
|
Execução remota de código |
Local; de convidado para host |
||
Elevação de privilégio |
Local |
||
Elevação de privilégio |
Local |
Este resumo fornece uma visão geral da nossa compreensão e das nossas recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações. Você também pode nos visitar no X, antigo Twitter, para receber atualizações em tempo real.