Perspectiva da Akamai sobre a Patch Tuesday de fevereiro de 2024
Um buquê de rosas é um presente encantador, mas, em nossa linha de trabalho, um patch é mais bem-vindo. Assim como acontece todo mês, o grupo de inteligência de segurança da Akamai se mobilizou para analisar as vulnerabilidades mais intrigantes que foram corrigidas. Dos 73 CVEs deste mês, cinco são críticos, mas também temos dois outros CVEs que foram vistos explorados em ambientes reais: CVE-2024-21351 no Windows SmartScreen e CVE-2024-21412 em arquivos de atalhos da Internet. Ambas as vulnerabilidades são desvios de segurança que permitem que os invasores ignorem verificações de segurança que alertam os usuários sobre o acesso a arquivos potencialmente mal-intencionados.
Neste post, avaliaremos o quanto as vulnerabilidades são realmente críticas e o quanto os aplicativos e serviços afetados são comuns, oferecendo uma perspectiva realista sobre os bugs que foram corrigidos. Atente-se a esses insights nos dias após cada Patch Tuesday.
Este é um relatório contínuo, e traremos mais informações, conforme o avanço da nossa pesquisa. Fique atento!
Neste mês, concentramo-nos nas seguintes áreas em que os bugs foram corrigidos:
Vulnerabilidades exploradas livremente
CVE-2024-21351 – Windows SmartScreen (CVSS 7.6)
Esta é uma vulnerabilidade de desvio de segurança, que ignora o aviso de segurança do SmartScreen ao abrir arquivos mal-intencionados que foram baixados da Web. Nesse cenário, o Windows SmartScreen é responsável por exibir uma tela de aviso. A vulnerabilidade requer que o invasor crie um arquivo de uma maneira específica que fará com que o Windows SmartScreen falhe ao verificar o arquivo e, portanto, ignore a tela de aviso. De acordo com as notas CVE, também é possível injetar código no processo do SmartScreen por meio dessa vulnerabilidade.
Não é a primeira vez que vulnerabilidades de contorno de controles de segurança do SmartScreen são ativamente exploradas por invasores. O patch de novembro de 2023 também incluiu uma correção para uma vulnerabilidade de desvio que foi relatada como ativamente explorada.
CVE-2024-21412 - Arquivos de atalho da Internet (CVSS 8.1)
Os arquivos de atalho da Internet são arquivos .url que apontam para endereços da Internet. A vulnerabilidade ignora algumas verificações de segurança que devem ocorrer ao fazer clique duplo nesses arquivos, semelhante ao CVE do SmartScreen acima (na verdade, o CVE do SmartScreen de novembro de 2023 foi especificamente para arquivos de atalho da Internet, e este CVE é um desvio desse patch). Os arquivos de atalho devem ser criados especificamente para acionar a vulnerabilidade, e a vítima deve clicar neles para que a vulnerabilidade seja acionada. Ele foi usado como parte da campanha da Water Hydra. Você pode encontrar mais detalhes sobre isso no post de Peter Girnus na plataforma X, anteriormente conhecida como Twitter, ou no blog da TrendMicro.
Windows Exchange Server e Microsoft Outlook
Embora o Exchange Server e o Outlook sejam dois produtos separados, eles estão tão intimamente relacionados (o primeiro é o servidor de e-mail e o último é o cliente de e-mail) que decidimos discuti-los juntos. Houve três CVEs corrigidos no Outlook, um deles crítico e outro CVE crítico no Exchange Server.
CVE-2024-21413 É uma vulnerabilidade crítica de execução remota de código no Outlook, que (de acordo com as notas da Microsoft) permite que os invasores ignorem o Modo de Exibição Protegido do Office e abram documentos no modo de edição em vez de somente leitura. Isso pode causar desvios dos mecanismos de segurança e ao vazamento de credenciais, que podem ser usados para a execução remota de código. Essa vulnerabilidade foi descoberta por Haifei Li, da Check Point Research, e você pode ler mais sobre a vulnerabilidade na publicação do blog.
CVE-2024-21410 é outra vulnerabilidade de execução remota de código, mas no Windows Exchange Server. A vulnerabilidade requer que os invasores alcancem algum tipo de canal de machine-in-the-middle para transmitir credenciais para o Exchange Server e fazer a autenticação como se fosse a vítima. Então, os invasores poderiam realizar ações privilegiadas em nome da vítima. A Microsoft recomenda habilitar a Proteção Estendida para autenticação como uma atenuação do risco, mas também é aconselhável aplicar patches. Em nossas observações, constatamos que 27% das redes corporativas tinham um servidor Exchange no local.
Número de CVE |
Componente |
Efeito |
Acesso necessário |
|---|---|---|---|
Windows Exchange Server |
Elevação de privilégio |
Rede |
|
Microsoft Outlook |
Execução remota de código |
||
Elevação de privilégio |
Local |
Windows OLE e ODBC
OLE e ODBC são especificações de API que foram projetadas para abstrair a conexão entre um consumidor de dados e uma fonte de dados. A ODBC é mais antiga e processual, já o OLE é mais recente. Ele é implementado usando o COM (Component Object Model) e compatível com bancos de dados não relacionais.
Houve 18 CVEs corrigidos este mês, 16 relacionados a OLE e dois relacionados a ODBC. Todos os CVEs destinam-se à execução remota de código que visa ao cliente de banco de dados. Os invasores precisam atrair as vítimas para se conectarem a um banco de dados mal-intencionado em seu controle, a partir do qual podem enviar pacotes criados especificamente para acionar a execução remota de código no cliente da vítima. Quase todos os CVEs têm uma pontuação CVSS de 8,8.
Possível mitigação
O impacto de todas as vulnerabilidades pode ser atenuado usando segmentação. Criar uma lista de permissões de servidores SQL conhecidos na organização garantirá que nenhuma conexão seja feita com servidores externos desconhecidos, evitando, assim, a cadeia de ataque descrita acima.
Número de CVE |
Componente |
|---|---|
Driver ODBC do Microsoft WDAC |
|
Driver ODBC da Microsoft |
|
OLE do Windows |
|
Provedor OLE DB do Microsoft WDAC para SQL Server |
|
Serviços abordados anteriormente
Muitas CVEs na Patch Tuesday deste mês destinam-se a sistemas que já abordamos no passado. Caso tenha interesse em nossa análise ou recomendações gerais sobre esses serviços, recomendamos que consulte nossas perspectivas anteriores nas postagens do blog da Patch Tuesday.
Serviço |
Número de CVE |
Efeito |
Acesso necessário |
|---|---|---|---|
Elevação de privilégio |
Local |
||
Execução de código arbitrária |
|||
Execução remota de código |
Rede |
||
Compartilhamento de conexão com a Internet, ou ICS (Internet Connection Sharing) |
Negação de serviço |
Rede |
|
Negação de serviço |
Rede |
Este resumo fornece uma visão geral da nossa compreensão e das nossas recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações. Você também pode nos visitar no X, antigo Twitter, para receber atualizações em tempo real.
