Perspectiva da Akamai sobre a Patch Tuesday de janeiro de 2023
A Patch Tuesday de janeiro de 2023, da Microsoft, foi lançada,e a equipe de pesquisa de segurança da Akamai se mobilizou para analisar as vulnerabilidades mais intrigantes que foram corrigidas. Parece que a Microsoft entrou no novo ano com vigor renovado, pois há quase o dobro de CVEs (Common Vulnerabilities and Exposures, vulnerabilidades e exposições comuns) corrigidas este mês do que em dezembro. A Akamai Security Research também começou o ano com força. Divulgamos duas das vulnerabilidades corrigidas este mês. Consulte uma breve descrição delas abaixo.
Neste relatório, avaliaremos o quão críticas as vulnerabilidades realmente são e quão comuns são as aplicações e os serviços afetados, e forneceremos uma perspectiva realista sobre os bugs que foram corrigidos. Fique atento(a) a esses insights nos dias após cada Patch Tuesday.
Este é um relatório de atualização e vamos incluir mais informações, conforme o avanço de nossa pesquisa. Fique atento!
Além das vulnerabilidades de segurança divulgadas pela Akamai, neste relatório, estamos nos concentrando nas seguintes áreas em que os bugs foram corrigidos:
Vulnerabilidades de segurança divulgadas pela Akamai
As duas vulnerabilidades a seguir foram divulgadas com responsabilidade à Microsoft e abordadas no patch deste mês. Forneceremos mais detalhes sobre essas vulnerabilidades mais uma vez, para dar a todos a chance de corrigir seus sistemas. Por enquanto, podemos dar uma breve descrição.
EoP remoto do serviço Testemunha SMB
CVE-2023-21549, Pontuação CVSS 8.8
Essa é outra vulnerabilidade encontrada por meio do nosso Kit de ferramentas RPC. O Protocolo de Serviço Testemunha SMB é usado como parte dos servidores de arquivos em cluster SMB.
EoP local do LSM
CVE-2023-21771, Pontuação CVSS 7.0
Essa é outra vulnerabilidade em uma das interfaces RPC do LSM (Local Session Manager, gerenciador de sessão local). A vulnerabilidade é apenas acionável localmente, e a exploração requer ganhar uma condição de corrida que seja facilmente alcançada.
Como a função vulnerável não existe em todas as versões do Windows, apenas as seguintes versões são vulneráveis:
Windows Server 2022
Windows 10 versões 21H2 e 22H2
Windows 11 versões 21H2 e 22H2
Layer 2 Tunneling Protocol do Windows
O L2TP é um protocolo de encapsulamento usado para oferecer suporte a VPNs. No Windows, ele faz parte do RAS (Remote Access Server, servidor de acesso remoto), da mesma forma que o SSTP e o PPP (que foram abordados nos meses anteriores). O acesso remoto é uma função do Windows Server que permite aos clientes remotos se conectarem à LAN, semelhante a uma VPN. A função do servidor precisa ser adicionada de maneira ativa.
Há cinco vulnerabilidades críticas neste serviço este mês, todas com uma pontuação CVSS 8.1 e permitem a execução remota de código.
Quatro das vulnerabilidades (CVE-2023-21546, CVE-2023-21679, CVE-2023-21555 e CVE-2023-21556) exigem que o invasor ganhe uma condição de corrida para acioná-las. A outra CVE, CVE-2023-21543, não exige uma condição de corrida de acordo com o MSRC (Microsoft Security Response Center), mas exige que o invasor execute etapas adicionais antes da exploração.
Não podemos ter tempo de inatividade no nosso servidor VPN. Podemos fazer algum tipo de atenuação além da aplicação de patches?
Como o L2TP é usado para suportar servidores VPN, é praticamente impossível restringir o acesso à Internet a ele. Portanto, não há muitas opções de atenuação disponíveis fora da aplicação de patches. Se você sabe que não tem trabalhadores em determinadas partes do mundo (por exemplo, todos os seus funcionários estão nos Estados Unidos), você pode restringir o acesso de determinadas geolocalizações com base no geo-ip, mas essa tarefa é muito difícil de conter também.
Como alternativa, como todas as CVEs exigem condições de corrida ou etapas extras, é seguro presumir que sua exploração resultará em um aumento na atividade da rede. Monitorar a atividade da rede pode gerar alertas sobre possíveis tentativas de exploração.
Lightweight Directory Access Protocol do Windows
O LDAP é um protocolo de código aberto projetado para conectar e consultar serviços de diretório e bancos de dados. O controlador de domínio do Active Directory tem uma implementação de servidor LDAP para permitir que programas e servidores existentes que dependem do LDAP usem o AD existente sem exigir um servidor separado.
Este mês, há duas vulnerabilidades no serviço LDAP, afetando controladores de domínio não corrigidos. A CVE-2023-21557 é uma vulnerabilidade de DoS (denial-of-service, negação de serviço) que pode ser feita antes da autenticação. O comunicado do MSRC também afirma que explorar com êxito a vulnerabilidade também pode resultar em uma divulgação de informações, mas não especifica quais dados vazam. A CVE-2023-21676 é uma vulnerabilidade de execução remota de código, embora exija autenticação prévia.
Não podemos corrigir nosso controlador de domínio e arriscar o tempo de inatividade. As vulnerabilidades podem ser mitigadas em outro lugar?
Não exatamente. Como o controlador de domínio é parte integrante de todas as partes do domínio, é praticamente impossível restringir o acesso a ele sem comprometer as operações normais da rede. Como a CVE-2023-21676 exige um usuário autenticado, ela pode ajudar as equipes de IR ao rastreá-lo (mas não ajudará realmente com a prevenção preventiva).
Serviços de Criptografia da Microsoft
O nome Serviços de Criptografia é um pouco enigmático, pois há muitas partes do sistema operacional às quais ele pode se referir. (Ele deve se referir a apenas um — CryptSvc, o Serviço de Criptografia literal — mas seu arquivo não foi corrigido com patches.) Há apenas uma CVE que diz qual parte do sistema é afetada, a CVE-2023-21561 com CSRSS.
Há seis CVEs este mês, três para elevação local de privilégio e três para divulgação de informações locais. Essas vulnerabilidades afetam todas as máquinas Windows, sejam elas servidores ou desktops, portanto, a aplicação de patches é fundamental.
Número da CVE |
Efeito |
|---|---|
| CVE-2023-21561 | Elevação de privilégio de AppContainer para SYSTEM |
| CVE-2023-21730 | Elevação de privilégio para SYSTEM |
| CVE-2023-21551 | |
| CVE-2023-21559 | Divulgação de segredos criptográficos do Windows |
| CVE-2023-21540 | |
| CVE-2023-21550 |
Serviços abordados anteriormente
Muitas CVEs na Patch Tuesday deste mês são para sistemas que já abordamos no passado. Caso tenha interesse em nossa análise ou em recomendações gerais para esses serviços, recomendamos que visite nossas publicações anteriores.
Serviço |
Número da CVE |
Efeito |
Acesso necessário |
|---|---|---|---|
Desvio de autenticação |
Rede |
||
Execução de código remota |
Autenticado como pelo menos um membro do website |
||
Autenticado com privilégio de criação de página |
|||
Execução de código remota |
Rede |
||
Divulgação de informações |
Rede |
Este resumo fornece uma visão geral de nossa compreensão e de nossas recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações.
