Perspectiva da Akamai sobre a Patch Tuesday de fevereiro de 2023
Chegou a hora dos patches do mês, e a Microsoft levou a doação de presentes ao extremo, com aproximadamente 80 CVEs corrigidos, nove deles críticos e cinco com uma alta pontuação CVSS de 9,8. Três dos CVEs corrigidos também foram usados no mundo real, designando-os como patches de dia zero.
Assim como acontece todo mês, o Grupo de inteligência de segurança da Akamai se mobilizou para analisar as vulnerabilidades mais intrigantes que foram corrigidas.
Nota: há um problema com o patch deste mês e as VMs do Windows Server 2022 com inicialização segura em execução no VMware ESXi versão 7.0.xe inferior. Elas podem não inicializar após a instalação KB5022842,.
Neste relatório, avaliaremos o quão críticas as vulnerabilidades realmente são e quão comuns são as aplicações e os serviços afetados, e forneceremos uma perspectiva realista sobre os bugs que foram corrigidos. Atente-se a esses insights nos dias após cada Patch Tuesday.
Este é um relatório de atualização e vamos incluir mais informações, conforme o avanço de nossa pesquisa. Fique atento!
Neste relatório, vamos nos concentrar nas seguintes áreas nas quais os bugs foram corrigidos:
Vulnerabilidades exploradas no mundo real
CVE-2023-21823
Começaremos com a vulnerabilidade de execução remota de código (RCE) no componente Gráfico do Windows. Embora a vulnerabilidade seja para exploração remota, o vetor de ataque está listado como local. Isso provavelmente significa que essa é mais uma vulnerabilidade de execução arbitrária de código (ACE), que exige que o usuário interaja com um arquivo baixado.
Curiosamente, este CVE afeta também as versões do Microsoft Office, iOS e Android incluídas. Dessa forma, a atualização não é administrada apenas pelo Windows Update, mas também pela Microsoft Store, Google Play e App Store. Se você tiver as atualizações automáticas desativadas em qualquer uma das lojas, lembre-se de acionar as atualizações em seus dispositivos.
CVE-2023-21715
Esta é uma vulnerabilidade de desvio de segurança no Microsoft Publisher. Especificamente, trata de "Mark-of-the-Web" (MOTW). Normalmente, os arquivos baixados da internet são marcados internamente, para que o sistema operacional ou os programas saibam que não devem confiar neles e os executem (ou macros dentro deles) automaticamente. Especificamente, o Microsoft Publisher não lidava com o MOTW e permitia a execução de macros em arquivos baixados da Web. Isso foi corrigido com este CVE. O pesquisador de segurança Haifei Li escreveu uma análise mais detalhada sobre Twitter.
CVE-2023-23376
Esta é uma vulnerabilidade de elevação de privilégio no driver do sistema de arquivo de log comum do Windows que permite que invasores obtenham privilégios SYSTEM. Não há mais detalhes disponíveis no momento.
Protocolo de autenticação extensível protegido da Microsoft
O Protected Extensible Authentication Protocol (PEAP) é um protocolo que encapsula o Extensible Authentication Protocol (EAP) em uma sessão TLS. O EAP é usado para autenticar dispositivos e conexões com redes e também é usado na autenticação de rede Wi-Fi.
Os servidores Windows podem ser configurados com uma função opcional chamada Servidor de políticas de rede (NPS), e o NPS pode ser usado para autenticar e permitir solicitações de conexão de rede com EAP e PEAP. Isso não é ativado por padrão - o A função NPS deve ser instalada e configurada manualmente. Com base em nossas observações, apenas 21% das redes tinham servidores NPS.
Como o NPS deve ser central para a rede e também processar solicitações de autenticação, pode ser problemático aplicar políticas de segmentação nele. Em vez disso, a Microsoft diz que uma possível atenuação seria não permitir o PEAP nas negociações de protocolo e fornecer duas fontes ao implementar isso.
Neste mês, são seis CVEs no total; três RCEs críticos (com uma pontuação de 9,8) e três CVEs importantes (com uma pontuação de 7,5): um RCE, um DoS e um CVE de desvio de informações.
Número de CVE |
Gravidade |
Pontuação básica |
Efeito |
|---|---|---|---|
Crítico |
9,8 |
Execução de código remota |
|
Importante |
7,5 |
||
Negação de serviço |
|||
Divulgação de informações |
Windows iSCSI
O iSCSI é um protocolo usado para conectar a dispositivos de armazenamento SCSI. No Windows, as máquinas têm o processo do iniciador iSCSI e o Serviço do iniciador iSCSI da Microsoft. Nenhum deles é executado por padrão; ambos precisam ser executados e configurados manualmente. Com base em nossas observações, apenas 3% das redes têm máquinas com o Windows iSCSI em execução.
Este mês, há um RCE crítico e três CVEs de DoS. Embora não seja mencionado explicitamente, partimos do suposto que os CVEs referem-se ao Serviço do iniciador iSCSI da Microsoft. Além disso, o RCE supostamente só funciona em máquinas de 32 bits.
P: Minhas máquinas estão ocupadas enviando cartões eletrônicos de dia dos namorados com animais fofos, então elas não podem executar patches ou ser reinicializadas. Posso protegê-las de alguma forma enquanto isso?
Felizmente, o serviço iSCSI não está sendo executado por padrão. Portanto, deve ser possível mapear as máquinas que o executam e criar políticas de segmentação para elas. Não deve haver tantas conexões de entrada para o serviço iSCSI, portanto, use a microssegmentação para restringir o acesso ao serviço de fora da máquina. Isso deve proporcionar algum tempo para liberar a máquina para aplicar os patches nela.
Para mapear máquinas com iSCSI, você pode pesquisar conexões pelas portas TCP 860 e 3260 (as portas padrão do iSCSI). Você também pode procurar o próprio serviço: Serviço do iniciador iSCSI da Microsoft.
Esta é uma consulta de osquery para ela:
select pid from services where display_name = "Microsoft iSCSI Initiator Service" and status="RUNNING";
Além disso, as perguntas frequentes sobre a vulnerabilidade do RCE também mencionam que isso é obtido enviando uma solicitação DHCP ao serviço iSCSI. Se você tiver visibilidade de rede, poderá verificar se suas máquinas iSCSI recebem DHCP normalmente (portas UDP 67,68) e, se não (ou for de um escopo limitado), também poderá aplicar a segmentação. Isso deve fornecer atenuação adicional antes da aplicação de patches.
Microsoft SQL Server
Existem três CVEs de RCE no servidor SQL da Microsoft este mês. Dois deles (com uma pontuação base de CVSS de 8,8) são para o recurso opcional SQL Data Quality Services' (DQS). O terceiro CVE tem uma pontuação CVSS de 7,8. Com base em nossas observações, 60% das redes têm servidores MSSQL e 40% têm o DQS instalado também.
Como os servidores SQL geralmente armazenam informações confidenciais, eles devem ser segmentados e ter restrições de controle de acesso para evitar incidentes de roubo de dados. Se você não tiver essas políticas, esta é uma boa oportunidade para adicioná-las. Mapeie seus servidores MSSQL existentes (procurando o serviço MSSQL ou procurando conexões nas portas 1433,1434). Depois de mapear os servidores existentes, crie políticas de segmentação com base no tráfego existente e outros segmentos que devem ter acesso (como TI para todos, financeiro para financeiro, etc.). Esta também é uma boa oportunidade para ver quem não está se comportando bem e acessando bancos de dados que não deveriam tocar.
Há sete outros CVEs relacionados ao SQL este mês em OLE e ODBC. Já falamos sobre os conselhos anteriores, e as nossas recomendações não mudaram (e os CVEs também parecem semelhantes). Leia mais sobre eles em Serviços abordados anteriormente.
Driver de impressora do Microsoft PostScript
A PostScript é uma linguagem de programação usada para o layout da página. Há muitas impressoras que oferecem suporte a ela (principalmente as mais avançadas para uso em escritório/empresa, não para uso doméstico).
O driver de impressora em PostScript é o componente do sistema no Windows (pscript5.dll) que sabe como se comunicar com impressoras em PostScript. O driver de impressora PostScript é o componente do sistema no Windows (pscript5.dll) que sabe como se comunicar com impressoras em PostScript.
Como é sabido que os invasores usam impressoras nos ataques, faça uma pausa na impressão dos cartões do dia dos namorados para corrigir ou proteger os servidores da impressora.
Número de CVE |
Vetor do ataque |
Mitigação |
|---|---|---|
Um invasor autenticado pode enviar um arquivo criado para uma impressora compartilhada. Isso resulta em um RCE no servidor de compartilhamento. |
Limite suas impressoras compartilhadas ou execute a segmentação em seus servidores de compartilhamento de impressoras para limitar o acesso não autorizado a elas. Além disso, como o invasor precisa ser autenticado, controles de acesso do usuário ou verificações também podem alertar sobre comportamentos anormais. |
|
O vetor de ataque é listado como local e como um ACE. Isso geralmente significa que o usuário está abrindo algo que veio da Internet que resulta na execução do código. Neste caso, talvez seja a impressão de um documento mal-intencionado. |
Ter controles sobre arquivos baixados ou digitalizadores de arquivos de e-mail pode ajudar a reduzir o risco. Além disso, esse CVE parece mais adequado para máquinas de desktop/usuário. Geralmente, esses são mais fáceis de aplicar patches do que os servidores críticos. |
|
De acordo com as perguntas frequentes, um usuário precisa acessar uma impressora mal-intencionada e o resultado final é divulgação da memória heap. |
Como se deve manter um controle de suas impressoras, adicionar regras de segmentação para impedir o acesso a "novas" impressoras deve ser viável e reduzir esse risco. |
Microsoft Word
Há um CVE de RCE crítico (pontuação CVSS de 9,8) no Microsoft Word que lida com arquivos RTF. (Quem não gosta de flores vermelhas e espinhosas no dia dos namorados?)
Nesse caso, arquivos RTF criados especificamente podem acionar a execução de comandos quando o Word os abre. Isso também afeta o Painel de visualização e o SharePoint. Felizmente, a Microsoft forneceu duas possíveis atenuações:
Serviços abordados anteriormente
Muitas CVEs na Patch Tuesday deste mês são para sistemas que já abordamos no passado. Caso tenha interesse em nossa análise ou em recomendações gerais para esses serviços, recomendamos que visite nossas publicações anteriores.
Serviço |
Número de CVE |
Efeito |
Acesso necessário |
|---|---|---|---|
Execução de código remota |
Acesso à rede com um usuário autenticado com permissões para gerenciar lista |
||
Execução de código remota |
A vítima precisa se conectar a um servidor SQL mal-intencionado via OLEDB. |
||
Execução de código remota |
A vítima precisa se conectar a um servidor SQL mal-intencionado via ODBC. |
||
Execução de código remota |
Rede; requer autenticação |
||
Rede; requer que o invasor seja autenticado como administrador |
|||
Falsificação |
Acesso e autenticação de rede. O usuário também teria que clicar no link injetado. |
||
Este resumo fornece uma visão geral de nossa compreensão e de nossas recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações.