Perspectiva da Akamai sobre a Patch Tuesday de maio de 2023
Não faz muito tempo, em Redmond, Washington, EUA...
É um período de guerra cibernética. Administradores de rede trabalhando incansavelmente para aplicar a nova Patch Tuesday.
Assim como acontece todo mês, o grupo de inteligência de segurança da Akamai se mobilizou para analisar as vulnerabilidades mais intrigantes que foram corrigidas.
Parece que a Força está conosco este mês, pois há apenas 40 CVEs desta vez, muito menos do que nos meses anteriores. Sete dos CVEs corrigidos eram críticos (um deles encontrado por nosso próprio Ben Barnea), bem como duas outras com pontuações CVSS de 9,8 em PGM e NFS. Dois dos CVEs corrigidos também foram usados no mundo real,designando-os como vulnerabilidades corrigidas de dia zero.
Neste relatório, avaliaremos o quão críticas as vulnerabilidades realmente são e quão comuns são as aplicações e os serviços afetados, e forneceremos uma perspectiva realista sobre os bugs que foram corrigidos. Você também pode ver uma rápida visão geral em tempo real no dia do patch em nossa conta do Twitter. Fique atento a esses insights nos dias após cada Patch Tuesday.
Este é um relatório de atualização e vamos incluir mais informações à medida que nossa pesquisa avança. Fique atento(a)!
Neste relatório, vamos nos concentrar nas seguintes áreas nas quais os bugs foram corrigidos:
Vulnerabilidades exploradas no mundo real
Windows Win32k — CVE-2023-29336
Esta é uma elevação local de vulnerabilidades de privilégios no Win32k, que trata o subsistema Windows no Kernel do Windows, principalmente o gerenciamento de GUI e janelas. Ela foi detectada por pesquisadores de segurança da Avast e pode ser usada para elevar os privilégios ao SISTEMA.
Inicialização segura — CVE-2023-24932
Essa vulnerabilidade permite que os invasores ignorem a Inicialização segura, que é usada para garantir que apenas software confiável seja usado para inicializar a máquina. Ela foi usada pelo BlackLotus para carregar seu kit de inicialização. Por si só, o patch não mitiga o risco criado pela vulnerabilidade.
Os administradores também devem atualizar todos os backups do Windows e mídias inicializáveis, bem como aplicar revogações e novas políticas. A Microsoft lançou o KB5025885 para fornecer orientação sobre como implantar as alterações.
Vulnerabilidades descobertas por pesquisadores da Akamai
Plataforma MSHTML do Windows — CVE-2023-29324
A vulnerabilidade é um desvio da função MapUrlToZone . A função analisa incorretamente um caminho específico, resolvendo-o como um caminho local, embora seja um caminho remoto.
A MapUrlToZone foi usada como uma mitigação para a vulnerabilidade crítica do Outlook que foi corrigida em março e, portanto, a nova vulnerabilidade permite a exploração dela novamente.
Publicamos uma anotação detalhada para esse problema.
Windows SMB — CVE-2023-24898
Os servidores que executam SMB no QUIC são vulneráveis a um ataque de negação de serviço. A vulnerabilidade pode ser explorada facilmente sem a autenticação do invasor. Como o SMB no QUIC é um recurso relativamente novo, não esperamos que um grande número de máquinas seja vulnerável.
NFS (Network File System, sistema de arquivo de rede) do Windows
O NFS é um protocolo de rede originalmente desenvolvido pela Sun Microsystems para permitir acesso remoto a arquivos pela rede. Há uma implementação no Microsoft Windows e a função NFS pode ser adicionada a um servidor para transformá-lo em um servidor NFS. Há três vulnerabilidades este mês, uma delas crítica, que podem levar à execução remota de código.
Análise do escopo
O recurso NFS precisa ser adicionado a um servidor e cliente Windows antes de poder ser usado. Ele está incluído na função do servidor de Serviços de arquivo e armazenamento no Windows Server.
O NFS normalmente usa a porta 111 (porta EpMapper do RPC da Sun, versões anteriores do NFS são implementadas por meio do RPC da Sun) e porta 2049. Ao analisar vários data centers, descobrimos que apenas 0,1% podem ser servidores NFSv4, e somente cerca da metade está executando o Windows.
Recomendações gerais
Geralmente recomendamos que você verifique se é possível fazer atualizar o servidor NFS para a versão NFS v4.1, pois é ela é a mais segura. Desta vez, no entanto, a vulnerabilidade da execução de código remota afeta apenas o NFS v4, por isso não podemos recomendar uma atualização.
Em vez disso, recomendamos aplicar a segmentação em torno dos servidores NFS. Você deve verificar se é possível delimitar (confinar) os clientes NFS a um grupo menor de servidores/estações de trabalho e também reduzir o tráfego de saída do servidor NFS. Por se tratar de um servidor, alguns motivos podem levá-lo a iniciar conexões. A segmentação pode limitar o impacto que uma exploração bem-sucedida proporciona.
Número de CVE |
Efeito |
Acesso necessário |
|---|---|---|
Execução de código remota |
Rede |
|
Divulgação de informações |
||
Negação de serviço |
LDAP (Lightweight Directory Access Protocol) do Windows
O LDAP é um protocolo de código aberto projetado para conectar e consultar serviços de diretório e bancos de dados. O controlador de domínio do Active Directory tem uma implementação de servidor LDAP para permitir que programas e servidores existentes que dependem do LDAP usem o controlador de domínio existente sem exigir um servidor separado.
Este mês, há uma vulnerabilidade no serviço LDAP que afeta controladores de domínio não corrigidos. CVE-2023-28283 é uma vulnerabilidade de execução de código remota que pode ser explorada antes da autenticação.
Não podemos corrigir nosso controlador de domínio e arriscar ter tempo de inatividade. As vulnerabilidades podem ser mitigadas em outro lugar?
Não exatamente. Como o controlador de domínio é parte integrante de todas as partes do domínio, é praticamente impossível restringir o acesso a ele sem comprometer as operações normais da rede. Até o rastreamento da CVE-2023-28283 pode ser difícil, pois não requer autenticação. As equipes de resposta a incidentes podem estar à procura de sessões LDAP de curta duração que não tenham uma resposta do servidor. Isso pode indicar uma tentativa de exploração.
Serviços abordados anteriormente
Muitas CVEs na Patch Tuesday deste mês destinam-se a sistemas que já abordamos no passado. Caso tenha interesse em nossa análise ou em recomendações gerais para esses serviços, recomendamos que visite nossas publicações anteriores.
Serviço |
Número de CVE |
Efeito |
Acesso necessário |
|---|---|---|---|
|
Divulgação de informações |
Autenticado localmente |
|
Execução de código remota |
Rede |
||
Execução de código remota |
Autenticado com permissões de Proprietário do website |
||
Falsificação |
Autenticado com permissões de criação de website; pode levar a vazamento de hash NTLM |
||
Divulgação de informações |
Autenticado |
||
Execução de código remota |
Rede |
||
Negação de serviço |
Este resumo fornece uma visão geral da nossa compreensão e das nossas recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações. Você também pode visitar nossa conta do Twitter para obter atualizações em tempo real.
