Perspectiva da Akamai sobre a Patch Tuesday de junho de 2024
Este mês não é muito intenso, provavelmente porque todos estão ocupados comemorando o Orgulho. Vamos nos ALIAR contra as grandes e más vulnerabilidades de segurança.
Assim como acontece todo mês, o grupo de inteligência de segurança da Akamai se mobilizou para analisar as vulnerabilidades mais intrigantes que foram corrigidas.
Houve 49 vulnerabilidades corrigidas no Patch Tuesday de junho de 2024, com uma vulnerabilidade crítica no MSMQ (Microsoft Message Queuing) e uma vulnerabilidade de alta pontuação CVSS (9,8) na DSVM (Máquina Virtual de Ciência de Dados do Azure).
Nesta publicação do blog, avaliaremos quão críticas são as vulnerabilidades e o quanto as aplicações e os serviços afetados são comuns, oferecendo uma perspectiva realista sobre os bugs que foram corrigidos. Atente-se a esses insights nos dias após cada Patch Tuesday.
Este é um relatório contínuo, e traremos mais informações, conforme o avanço da nossa pesquisa. Fique atento!
Neste mês, concentramo-nos nas seguintes áreas em que os bugs foram corrigidos:
MSMQ (Microsoft Message Queuing)
O serviço MSMQ é um recurso opcional do Windows usado para enviar mensagens entre diferentes aplicações. Apesar de ser opcional, ele é usado em segundo plano por muitas aplicações empresariais para Windows, como o Microsoft Exchange Server. Em nossas observações, encontramos o serviço instalado em quase 74% dos ambientes, geralmente em mais de uma máquina.
Este mês, há uma vulnerabilidade crítica de RCE (Network Remote Code Execution, execução remota de código de rede), CVE-2024-30080, que pode permitir que os invasores executem códigos remotamente enviando um pacote especificamente criado para o servidor MSMQ da vítima.
Como o serviço MSMQ é acessível pela porta 1801, mas não deve ser acessado por tantos clientes (já que é usado principalmente pela própria aplicação empresarial), recomendamos restringir o acesso arbitrário à rede a essa porta e serviço. Essa também é a atenuação recomendada pela Microsoft para a vulnerabilidade.
Tente segmentar o serviço usando políticas de lista de permissões, permitindo o acesso apenas aos computadores que realmente precisam dele. Para obter ajuda com a segmentação, consulte nossa publicação no blog (Micros)Segmentação sob uma perspectiva prática (e especificamente para as seções de delimitação de aplicação e de microssegmentação ).
DSVM (Máquina Virtual de Ciência de Dados do Azure)
A Máquina Virtual de Ciência de Dados do Azure é um tipo de imagem de máquina virtual personalizada disponível na plataforma de nuvem Azure que vem pré-instalada com várias ferramentas e programas necessários para a ciência de dados. CVE-2024-37325 é uma vulnerabilidade de elevação de privilégio (EoP) que afeta os DSVMs do Ubuntu com versões anteriores à 24.05.24.
Em vez de ser uma EoP típica, na qual um invasor ganha uma sessão elevada após a exploração, nesse caso, parece que há um tipo de vazamento de dados originado de um dos serviços instalados nessas máquinas virtuais. Um invasor não autenticado que envia uma solicitação específica pode vazar as credenciais de usuários autorizados e pode usar essas credenciais para fazer login nessas máquinas.
A Microsoft forneceu orientação sobre como atualizar as máquinas afetadas. Além disso, como parece (para nós) que o problema está em um dos serviços instalados, recomendamos verificar todas as portas em que essas máquinas estão escutando e tentar delimitá-las para impedir o acesso externo.
Protocolo de descoberta de topologia da camada de links do Windows e driver Wi-Fi do Windows
O Protocolo de descoberta de topologia da camada de links do Windows é um protocolo proprietário da Microsoft usado para mapear dispositivos para entender a topologia da rede. Embora o protocolo ofereça suporte a vários tipos de redes (com fio, sem fio e até mesmo powerline), ambas as vulnerabilidades corrigidas neste mês giram em torno do adaptador de rede Wi-Fi, portanto, mesclamos nossa discussão com a vulnerabilidade do driver Wi-Fi.
Como todas as vulnerabilidades giram em torno do Wi-Fi, um invasor teria que estar muito próximo (por rádio) para poder explorá-las, portanto, se você seguir a regra do "não confie em estranhos", não terá problemas.
Brincadeiras à parte, a implementação do protocolo Wi-Fi está fora do escopo da maioria dos produtos de firewall ou de segmentação, pois eles lidam com dados transferidos por redes e não com a configuração dessas redes em si. Portanto, não há realmente uma atenuação para essa vulnerabilidade além da aplicação de patches (ou de uma gaiola de Faraday, mas você também não terá Wi-Fi normal...), por isso recomendamos que aplique o patch o mais rápido possível.
Serviço |
Número de CVE |
Efeito |
|---|---|---|
Protocolo de descoberta de topologia da camada de links do Windows |
Execução remota de código |
|
Driver Wi-Fi do Windows |
Serviços abordados anteriormente
Muitas CVEs na Patch Tuesday deste mês destinam-se a sistemas que já abordamos no passado. Caso tenha interesse em nossa análise ou recomendações gerais sobre esses serviços, recomendamos que consulte nossas perspectivas anteriores nas postagens do blog da Patch Tuesday.
Serviço |
Número de CVE |
Efeito |
Acesso necessário |
|---|---|---|---|
RRAS (Windows Routing and Remote Access Service, serviço de roteamento e acesso remoto do Windows) |
Divulgação de informações |
Local |
|
Execução remota de código |
Local, um invasor teria que convencer a vítima a abrir um arquivo malicioso |
||
Negação de serviço |
Rede |
||
Execução remota de código |
Rede |
||
Negação de serviço |
Local |
||
Divulgação de informações |
Servidor de |
Este resumo fornece uma visão geral da nossa compreensão e das nossas recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações. Você também pode nos visitar no X, antigo Twitter, para receber atualizações em tempo real.