X

Precisa de computação em nuvem? Comece agora mesmo

Logotipo da Akamai
+1-8774252624
+1-8774252624
Login
Control Center
Acesse a plataforma Akamai
Cloud Manager
Gerencie seus recursos de nuvem
Experimente a Akamai
Você está sob ataque?
Login
Control Center
Acesse a plataforma Akamai
Cloud Manager
Gerencie seus recursos de nuvem

Perspectiva da Akamai sobre a Patch Tuesday de janeiro de 2024

Duas vulnerabilidades foram corrigidas no Hyper-V neste mês, uma delas crítica.

Ano novo, CVEs novas. Assim como acontece todo mês, o grupo de inteligência de segurança da Akamai se mobilizou para analisar as vulnerabilidades mais intrigantes que foram corrigidas. Do total de 48 CVEs neste mês, apenas duas são críticas, mas também temos um bônus de ano novo: duas CVEs corrigidas neste mês foram encontradas pelos pesquisadores da Akamai Ben Barnea e Tomer Peled.

Neste post, avaliaremos o quanto as vulnerabilidades são realmente críticas e o quanto os aplicativos e serviços afetados são comuns, oferecendo uma perspectiva realista sobre os bugs que foram corrigidos. Atente-se a esses insights nos dias após cada Patch Tuesday.

Este é um relatório contínuo, e traremos mais informações, conforme o avanço da nossa pesquisa. Fique atento!

Neste mês, concentramo-nos nas seguintes áreas em que os bugs foram corrigidos:

Veja mais pesquisas

Plataformas HTML do Windows

Embora a referência seja a plataformas HTML do Windows neste mês, acreditamos que esse nome também se refira ao MSHTML do Windows como no mês passado. MSHTML é um renderizador de página da Web para o sistema operacional Windows. Ele expõe uma interface Component Object Model (COM) para permitir que os programas adicionem recursos de renderização da Web. É usado pelo Internet Explorer, o modo Internet Explorer do Microsoft Edge, o Microsoft Outlook e vários outros programas.

Pesquisador da Akamai, Ben Barnea encontrou a CVE-2024-20652, uma vulnerabilidade que contorna recursos de segurança com uma pontuação CVSS de 7,5. A vulnerabilidade em si está em MapUrlToZone, que é uma função normalmente empregada para determinar se um URL direciona para um recurso na máquina, dentro da rede ou na internet. 

Essa vulnerabilidade é semelhante a vulnerabilidades descobertas anteriormente. Isso faz com que a função MapUrlToZone entenda que um URL reside na intranet enquanto ele está, na verdade, direcionando para um recurso da Internet. Esse método pode ser usado para contornar o patch do Outlook de CVE-2023-23397 , levando ao vazamento de credenciais de NTLM para um destino remoto (controlado pelo invasor).

Temas do Windows

Temas da Microsoft é um recurso do Windows que permite a um usuário alterar a forma como ícones ou fontes são exibidos, entre outras possíveis alterações. É uma parte integrada ao Windows

Pesquisador da Akamai, Tomer Peled encontrou a CVE-2024-21320, que é categorizada como uma vulnerabilidade de falsificação com pontuação CVSS de 6,5. Para ser mais preciso, trata-se de uma vulnerabilidade de coerção de autenticação, porque faz com que a vítima inicie uma autenticação NTLM. 

Para acionar a vulnerabilidade, um usuário precisa apenas visualizar um arquivo de tema mal-intencionado usando o Explorer, sem qualquer outra interação (nem mesmo é necessário abrir o arquivo explicitamente). Compartilharemos mais detalhes sobre essa vulnerabilidade em um próximo post do blog, então fique de olho.

Outra CVE (CVE-2024-20691) foi corrigida nos Temas do Windows neste mês — uma vulnerabilidade de divulgação de informações que pode divulgar memória heap para invasores, desde que eles ganhem uma condição de corrida.

Windows Hyper-V

O Windows Hyper-V é o hipervisor nativo do Windows. Ele permite a hospedagem de máquinas virtuais (convidadas) em uma única máquina host. A virtualização é muito comum em redes corporativas, pois permite economizar em custos de hardware. 

Em nossas observações, 90% dos ambientes tinham pelo menos uma máquina com Hyper-V habilitado (hosts), e uma média de 25% das máquinas com Windows tinham o Hyper-V habilitado.

Duas vulnerabilidades foram corrigidas no Hyper-V neste mês, uma delas crítica.

  1. A CVE-2024-20699 é uma vulnerabilidade de negação de serviço (DoS) que os invasores podem acionar em máquinas convidadas vulneráveis. Ela requer que os invasores tenham acesso local à máquina vulnerável.
  2. A CVE-2024-20700 é uma vulnerabilidade crítica de execução remota de código que permite que invasores executem código em máquinas Hyper-V vulneráveis. 

Mitigação

Como a CVE-2024-20700 requer acesso à rede, deve ser possível usar segmentação de rede para limitar o escopo de acesso a hosts Hyper-V, reduzindo o risco de ataque. Essa não deve ser alternativa à aplicação de patches, mas sim uma solução de curto prazo. Para detectar hosts Hyper-V, você pode usar o seguinte OSQuery:

Código OSQuery para detectar hosts Hyper-V da Patch Tuesday de janeiro de 2024

Kerberos do Windows

Kerberos é o backbone da arquitetura de domínio do Windows. É o mecanismo de autenticação padrão, substituto do NTLM. Apenas uma vulnerabilidade crítica no Kerberos foi corrigida neste mês: CVE-2024-20674

A partir da descrição da vulnerabilidade pela Microsoft, ela permite práticas de falsificação e exige que o invasor estabeleça um canal do tipo machine-in-the-middle (MITM) com um cliente alvo. Isso permite que o invasor falsifique um servidor de autenticação.

Cadeia de ataque

No nosso entender, uma cadeia de exploração bem-sucedida seria mais ou menos assim:

  1. O invasor estabelece uma posição MITM com relação à vítima. Isso pode ser feito de várias maneiras, como pelo envenenamento de ARP, LLMNR ou DNS. (Pesquisador da Akamai, Ori David descobriu recentemente um novo vetor para alcançar a posição MITM através de falsificação de DNS via DHCP.)
  2. O invasor envia uma mensagem Kerberos mal-intencionada à vítima, o que faz com que ela acredite que a máquina do invasor é o servidor de autenticação Kerberos.
  3. Quando o cliente se conecta à máquina do invasor, a vulnerabilidade permite que o invasor se passe pelo cliente e execute ações dentro do domínio em seu nome.

Mitigação

Como o Kerberos é uma parte muito importante do domínio do Windows, é essencial corrigir seus sistemas o mais rápido possível, especialmente porque a vulnerabilidade está definida como "possivelmente explorável." Como a vulnerabilidade afeta os clientes Kerberos, provavelmente não é suficiente corrigir apenas os controladores de domínio; todas as máquinas Windows no domínio devem ser corrigidas.

A aplicação de patches em tantos sistemas pode demorar, especialmente em domínios maiores. Enquanto isso, temos duas sugestões para detectar possíveis artefatos de exploração da vulnerabilidade.

  1. Você pode analisar o Log de eventos do Windows para procurar logons anômalos na rede — IDs de evento 4624 ou 4625. Se você observar um evento de logon de usuário originado de uma máquina que não deveria ter esse usuário ou com um tipo de logon incomum (como rede ou lote), fique atento.
  2. Como a autenticação Kerberos é tratada pela interface RPC para netlogon, você pode usar o log RPC ETW para pesquisar clientes que se conectam com netlogon a uma máquina que não é o controlador de domínio. Nossa ferramenta de código aberto de visibilidade de RPC pode ajudar com isso.

Serviços abordados anteriormente

Muitas CVEs na Patch Tuesday deste mês destinam-se a sistemas que já abordamos no passado. Caso tenha interesse em nossa análise ou recomendações gerais sobre esses serviços, recomendamos que consulte nossas perspectivas anteriores nas postagens do blog da Patch Tuesday.

Serviço

Número de CVE

Efeito

Acesso necessário

Microsoft Office

CVE-2024-20677

Execução remota de código

Local; requer que o usuário abra um arquivo mal-intencionado

Remote Desktop Client

CVE-2024-21307

Execução remota de código

Rede

Driver ODBC da Microsoft

CVE-2024-20654

Execução remota de código

Rede

Este resumo fornece uma visão geral da nossa compreensão e das nossas recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações. Você também pode nos visitar no X, antigo Twitter, para receber atualizações em tempo real.

Siga-nos

Publicações do blog relacionadas

Stiv Kupchik, pesquisador da Akamai, encontrou uma nova vulnerabilidade de elevação de privilégio (EoP) no cliente de registro remoto da Microsoft.
Stiv Kupchik, pesquisador da Akamai, encontrou uma nova vulnerabilidade de elevação de privilégio (EoP) no cliente de registro remoto da Microsoft.

Chamada e registro — ataque de retransmissão ao cliente WinReg RPC

October 19, 2024
Os pesquisadores da Akamai analisam uma nova vulnerabilidade que pode ser explorada para levar a ataques de elevação de privilégio contra computadores Windows.
por Stiv Kupchik
Leia mais
Esta derrubada é um grande passo para tornar a internet um lugar mais seguro.
Esta derrubada é um grande passo para tornar a internet um lugar mais seguro.

Derrubada do Anonymous Sudan: o papel da Akamai

October 16, 2024
O Departamento de Justiça anunciou a derrubada do Anonymous Sudan. Leia como a Akamai ajudou neste processo.
por Akamai SIRT
Leia mais
Este mês, temos um total de 117 CVEs em 60 componentes diferentes. Destas, três são críticas.
Este mês, temos um total de 117 CVEs em 60 componentes diferentes. Destas, três são críticas.

Perspectiva da Akamai sobre a Patch Tuesday de outubro de 2024

October 11, 2024
São muitas CVEs, mas não tenha medo: deixe para o Halloween. Este mês, temos um total de 117 CVEs e duas vulnerabilidades exploradas em uso.
por Akamai Security Intelligence Group
Leia mais