Perspectiva da Akamai sobre a Patch Tuesday de maio de 2024
Temos apenas um Star Wars Day por ano, mas 12 Patch Tuesdays, que é uma proporção terrível se você quer saber.
De qualquer forma, esta atualização de maio contém 59 CVEs, apenas um deles crítico (no servidor Microsoft SharePoint), mas também inclui patches para duas vulnerabilidades encontradas no mundo real.
Nesta publicação do blog, avaliaremos quão críticas são as vulnerabilidades e o quanto as aplicações e os serviços afetados são comuns, oferecendo uma perspectiva realista sobre os bugs que foram corrigidos. Atente-se a esses insights nos dias após cada Patch Tuesday.
Este é um relatório contínuo, e traremos mais informações, conforme o avanço da nossa pesquisa. Fique atento!
Neste mês, concentramo-nos nas seguintes áreas em que os bugs foram corrigidos:
Vulnerabilidades encontradas no mundo real
CVE-2024-30040 – Plataforma MSHTML do Windows
MSHTML é um renderizador de página da Web para o sistema operacional Windows. Ele expõe uma interface Component Object Model (COM) para permitir que os programas adicionem recursos de renderização da Web. É usado pelo Internet Explorer, o modo Internet Explorer do Microsoft Edge, o Microsoft Outlook e vários outros programas.
Várias vulnerabilidades foram encontradas na plataforma MSHTML (incluindo algumas encontradas por pesquisadores da Akamai), e ela é um alvo de exploração atraente para invasores devido à sua capacidade de contornar mecanismos de defesa e ao fato de ser um recurso integrado no Windows.
Desta vez, de acordo com o Microsoft Security Response Center (MSRC), a vulnerabilidade contorna mitigações OLE no Microsoft 365 e no Microsoft Office. A vulnerabilidade requer que os invasores convençam os usuários a baixar e abrir um arquivo mal-intencionado por meio de alguma forma de engenharia social e, quando o arquivo mal-intencionado é aberto e a vulnerabilidade é acionada, ela permite a execução de código no contexto do usuário vítima.
CVE-2024-30051 – Windows DWM Core Library
Diferentemente da vulnerabilidade anterior, essa é uma vulnerabilidade de escalonamento de privilégios no Desktop Window Manager (DWM) do Windows. O DWM é responsável por gerenciar as janelas visíveis na tela; ele faz parte do Windows desde o Windows Vista e é implementado no processo dwm.exe.
A vulnerabilidade foi detectada pelo Kasperskye foi vista como abusada pela campanha QakBot Trojan.
O Microsoft SharePoint é um sistema de armazenamento e gerenciamento de documentos baseado na Web que se integra a outros produtos do Microsoft Office. Há dois CVEs este mês, uma vulnerabilidade crítica de execução remota de código (RCE, na sigla em inglês) com uma pontuação CVSS de 8,8 (CVE-2024-30044) e a outra é uma vulnerabilidade de divulgação não autorizada de informações com uma pontuação CVSS de 6,5 (CVE-2024-30043).
CVE-2024-30044 requer que os invasores se autentiquem no servidor SharePoint com uma conta que tenha pelo menos permissões de SiteOwner. Após a autenticação, eles precisam carregar um arquivo criado e acessá-lo usando uma solicitação de API. Isso acionaria a desserialização dos parâmetros de arquivo e causaria a injeção de código no processo do servidor SharePoint. De acordo com o MSRC, essa vulnerabilidade é “mais provável de ser explorada”, o que significa que a vulnerabilidade não é complexa de ser desencadeada, apesar das inúmeras etapas envolvidas.
CVE-2024-30043 também requer autenticação e permite que os invasores obtenham conteúdo de arquivo no servidor. Dependendo dos privilégios de usuário que os invasores possuem, o escopo dos arquivos que eles podem acessar aumenta.
Em nossas observações, constatamos que aproximadamente 30% dos ambientes tinham pelo menos uma máquina com um servidor SharePoint instalado.
Como os servidores do SharePoint geralmente são usados para compartilhamento de documentos, pode ser difícil segmentar ou limitar o acesso dos usuários a eles sem prejudicar as operações normais. Portanto, recomendamos que você corrija seu servidor o mais rápido possível.
No entanto, considerando que ambos os CVEs requerem autenticação do usuário, deve ser possível mitigar alguns dos riscos protegendo o acesso do usuário ou aumentando a sensibilidade de alerta em atividades ou logins do usuário suspeitos.
Serviços abordados anteriormente
Muitas CVEs na Patch Tuesday deste mês destinam-se a sistemas que já abordamos no passado. Caso tenha interesse em nossa análise ou recomendações gerais sobre esses serviços, recomendamos que consulte nossas perspectivas anteriores nas postagens do blog da Patch Tuesday.
Serviço |
Número de CVE |
Efeito |
Acesso necessário |
|---|---|---|---|
Execução remota de código |
Rede |
||
Execução remota de código |
Rede, o usuário precisa se conectar a um servidor SQL mal-intencionado |
||
Negação de serviço |
Rede |
||
Divulgação de informações |
Local |
||
Falsificação |
Rede, autenticação necessária |
||
Este resumo fornece uma visão geral da nossa compreensão e das nossas recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações. Você também pode nos visitar no X, antigo Twitter, para receber atualizações em tempo real.