Perspectiva da Akamai sobre a Patch Tuesday de julho de 2023
Assim como acontece todo mês, o grupo de inteligência de segurança da Akamai se mobilizou para analisar as vulnerabilidades mais intrigantes que foram corrigidas.
Desta vez, há 130 CVEs, nove delas críticas. Isso é quase o dobro do número do mês passado. Quatro das CVEs críticas (no RRAS e MSMQ) têm uma pontuação CVSS alta de 9,8. Há também quatro vulnerabilidades relatadas como exploradas no ecossistema.
Neste relatório, avaliaremos o quanto as vulnerabilidades são realmente críticas e o quanto os aplicativos e serviços afetados são comuns para fornecer uma perspectiva realista sobre os bugs que foram corrigidos. Você também pode ver um rápido resumo do patch em nossa conta do Twitter. Fique atento a esses insights nos dias após cada Patch Tuesday.
Este é um relatório de atualização e vamos incluir mais informações à medida que nossa pesquisa avança. Fique atento(a)!
Neste relatório, vamos nos concentrar nas seguintes áreas nas quais os bugs foram corrigidos:
Vulnerabilidades exploradas no ecossistema
CVE-2023-32046 – Plataforma MSHTML do Windows (CVSS 7,8)
Essa vulnerabilidade na plataforma MSHTML pode permitir que invasores obtenham os privilégios do usuário que é vítima do ataque. MSHTML é o mecanismo de navegador da Microsoft, e as notas de patch mencionam que um usuário precisa abrir um arquivo especificamente criado ou navegar até um website mal-intencionado que está hospedando esse arquivo, portanto, é provavelmente algum tipo de recurso da Web – um arquivo HTML ou JavaScript. Independentemente disso, a vulnerabilidade requer que os usuários respondam a algum tipo de engenharia social e abram um arquivo mal-intencionado. Há mais duas CVEs corrigidas em MSHTML este mês (que não são conhecidas por serem exploradas no ecossistema). Leia mais sobre elas mais adiante nesta publicação.
CVE-2023-32049 – Windows SmartScreen (CVSS 8,8)
Esta é uma vulnerabilidade de desvio de segurança, que ignora o aviso de segurança do SmartScreen ao abrir arquivos que foram baixados da Internet ou que não são seguros. Não é a primeira vez que as vulnerabilidades de desvio do SmartScreen foram ativamente exploradas por agentes de ameaça. O grupo de análise de ameaças do Google (Google TAG) detectou e reportou que o ransomware Magniber usou uma vulnerabilidade semelhante no passado.
CVE-2023-36874 – Serviço de Relatórios de Erros do Windows (CVSS 7,8)
Esta é uma vulnerabilidade de elevação de privilégio que exige que os invasores já tenham acesso local à máquina. De acordo com as notas, os invasores precisam ser capazes de criar pastas e rastreamentos de desempenho na máquina local, o que exige privilégios de usuário restritos que geralmente não estão disponíveis. Esta CVE também foi relatada pelo Google TAG.
CVE-2023-35311 – Microsoft Outlook (CVSS 8,8)
Esta é outra vulnerabilidade de desvio de segurança, desta vez no Outlook. Ela permite que os invasores ignorem o aviso de segurança do Outlook ao clicar em hiperlinks.
CVE-2023-36884 – HTML do Office e Windows (CVSS 8,3)
Em 11 de julho, a Microsoft lançou um comunicado sobre uma vulnerabilidade de execução remota de código que está sendo ativamente explorada no ecossistema. A vulnerabilidade afeta vários produtos da Microsoft e se baseia em atrair vítimas para a abertura de documentos mal-intencionados.
A vulnerabilidade está sendo explorada pelo agente de ameaças RomCom em campanhas de phishing, incluindo um que tem como público-alvo os participantes da recente Cúpula da OTAN na Lituânia. A vulnerabilidade não tem nenhuma correção no momento, mas existem várias mitigações para ela.
Driver de rede bridge de Camada 2 do Windows
O driver de rede bridge de Camada 2 faz parte do ecossistema de contêineres do Windows. O driver é responsável por redes L2bridge, permitindo que contêineres se conectem diretamente à rede física do host. Há duas vulnerabilidades neste driver este mês: uma vulnerabilidade de divulgação não autorizada de informações CVSS 6,5 (CVE-2023-32037) e uma vulnerabilidade crítica de execução remota de código CVSS 8,8 (CVE-2023-35315). De acordo com as notas da CVE, a vulnerabilidade crítica permite uma fuga de convidado para host. Como a L2bridge permite que contêineres ou máquinas virtuais gravem diretamente no hardware físico compartilhado com o sistema operacional do host, uma vulnerabilidade no driver permite que códigos mal-intencionados ignorem o limite entre host e convidado.
O ecossistema de contêineres do Windows vem como um recurso opcional chamado Contêineres. Ele não está disponível pronto para uso e requer instalação para essa finalidade. Vimos que aproximadamente 35% dos ambientes monitorados têm máquinas Windows com o recurso opcional Contêineres habilitado.
Plataforma MSHTML do Windows
MSHTML é um renderizador de página da Web para o sistema operacional Windows. Ele expõe uma interface COM para permitir que os programas adicionem recursos de renderização da Web. Ele também é usado pelo Internet Explorer e pelo modo Internet Explorer do Microsoft Edge. Além da vulnerabilidade de escalonamento de privilégios encontrada no ecossistema (consulte a seção ecossistema), há mais duas vulnerabilidades de desvio de segurança: CVE-2023-35336 e CVE-2023-35308. Nas notas sobre as duas vulnerabilidades, parece que o MSHTML não valida a Zona de segurança corretamente para URLs específicos; por exemplo, pode confundir um URL externo com um URL local. Zonas de segurança não são novidade para nós, já que nosso próprio Ben Barnea encontrou uma vulnerabilidade semelhante no MapUrlToZone, que é a função usada frequentemente para determinar se um URL é um caminho da Internet, um caminho local (para a máquina/rede) etc.
RRAS (Windows Routing and Remote Access Service, serviço de roteamento e acesso remoto do Windows)
O RRAS (Routing and Remote Access Service, serviço de roteamento e acesso remoto) é um serviço do Windows que permite que o sistema operacional se comporte como um roteador, permitindo conexões website a website usando VPNs ou discagens. Há três vulnerabilidades críticas no serviço este mês, todas com a alta pontuação CVSS de 9,8. As notas de patch não nos dizem muito, exceto que pacotes criados especificamente enviados ao servidor podem acionar a execução remota de código.
O RRAS não está disponível em todos os servidores Windows. Ele vem como parte da função Acesso remoto e precisa ser instalado especificamente. Em nossas observações, vimos que aproximadamente 15% dos ambientes monitorados possuem servidores Windows com a função Acesso remoto instalada.
Tempo de execução de chamada de procedimento remoto
Há 14 CVEs de tempo de execução RPC diferentes corrigidas este mês, a maioria para ataques de negação de serviço. Apenas uma CVE (CVE-2023-35300) pode obter execução remota de código, e as notas de patch não nos dizem muito mais. Ao reverter o patch, vemos que a equipe MORSE (Microsoft Offensive Research & Security Engineering) parece ter feito uma grande quantidade de trabalho no mecanismo de desorganização NDR. Escrevemos em detalhes sobre o MS-RPC, por isso, se quiser saber mais sobre o assunto, pode encontrar muitas ferramentas e links de artigos úteis no nosso kit de ferramentas RPC.
Serviços abordados anteriormente
Muitas CVEs na Patch Tuesday deste mês destinam-se a sistemas que já abordamos no passado. Caso tenha interesse em nossa análise ou recomendações gerais sobre esses serviços, recomendamos que consulte nossas perspectivas anteriores nas postagens do blog da Patch Tuesday.
Serviço |
Número de CVE |
Efeito |
Acesso necessário |
|---|---|---|---|
Desvio do recurso de segurança |
Rede |
||
Falsificação |
|||
Execução de código remota |
|||
Negação de serviço |
Rede |
||
Elevação de privilégio |
Local |
||
Desvio do recurso de segurança |
Rede |
||
Desvio do recurso de segurança |
Rede |
||
Execução de código remota |
Rede |
||
Negação de serviço |
|||
Execução de código remota |
Rede adjacente |
Este resumo fornece uma visão geral da nossa compreensão e das nossas recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações. Você também pode visitar nossa conta do Twitter para obter atualizações em tempo real.
