Perspectiva da Akamai sobre a Patch Tuesday de novembro
A Patch Tuesday de novembro de 2022, da Microsoft, foi lançada,e o Grupo de inteligência sobre a segurança da Akamai se mobilizou para analisar as vulnerabilidades mais intrigantes que foram corrigidas. Neste relatório, tentaremos avaliar o nível real de criticidade das vulnerabilidades, o quanto são comuns as aplicações e os serviços afetados e fornecer nossa própria perspectiva sobre os bugs que foram corrigidos. Fique atento a esses insights nos dias após cada Patch Tuesday.
Este é um relatório de atualização e adicionaremos mais informações a ele à medida que nossa pesquisa progredir. Fique atento!
Neste relatório, vamos nos concentrar em quatro áreas em que os bugs foram corrigidos:
Para cada serviço afetado que cobrimos neste relatório, tentamos oferecer recomendações para monitoramento e atenuação quando a aplicação de patches não é possível. É claro que nenhuma mitigação é tão boa quanto a aplicação de patches, portanto, corrija seus sistemas sempre que possível e os mantenha atualizados.
Alerta: Alguns usuários relataram problemas de conectividade com controladores de domínio após a aplicação do patch de novembro. Achamos que pode estar relacionado à correção do CVE-2022-37966, que altera os valores de criptografia padrão (mais sobre isso abaixo). Também pode estar relacionado a outros patches no Kerberos e no Netlogon.
Linguagens de criação de scripts do Windows
As linguagens de script do Windows podem se referir a várias implementações de linguagens de script dentro do Windows, como VBScript, JavaScript ou outras. Nesta versão, a Microsoft aplicou dois mecanismos de script, Jscript e Chakra.
JScript é a implementação da Microsoft do ECMAScript, o mesmo padrão por trás do JavaScript usado pelo Internet Explorer. Chakra também é um mecanismo JavaScript, derivado do JScript, e é usado pelo Microsoft Edge Legacy (versões mais recentes do Edge são baseadas no Chromium). Ambos são implementados como DLLs, convenientemente nomeados jscript9.dll e chakra.dll.
Esta atualização corrige duas vulnerabilidades críticas de execução remota de código que afetam estes mecanismos de script.
A primeira, CVE-2022-41128, impacta a linguagem de script JScript9 com uma pontuação CVSS de 8,8 e é identificada como crítica. Não só sua complexidade de ataque é baixa, mas também foi usada no mundo real. Para uma exploração bem-sucedida da vulnerabilidade, um intruso teria de hospedar uma cota de servidor ou site especialmente concebido para isso. Em seguida, o intruso teria de convencer um usuário com uma versão afetada do Windows a acessar o servidor criado para tanto.
A segunda vulnerabilidade, CVE-2022-41118, que impacta tanto JScript9 quanto Chakra, com uma pontuação CVSS de 7,5 também é classificada como crítica. Desta vez, a complexidade de ataque é elevada, porque requer que o intruso vença uma condição não determinística. O fluxo de ataque e a interação do usuário permanecem semelhantes ao CVE-2022-41128.
Recomendações gerais
Os mecanismos JScript e Chakra foram desenvolvidos para Internet Explorer e Edge Legacy. Existem navegadores da web mais modernos (bem como uma versão do Edge baseada no Chromium), e recomendamos usar um deles. Mesmo assim, é importante observar que esses mecanismos também podem ser usados por outros softwares e, portanto, um patch seria a única maneira de proteger sua máquina contra estas vulnerabilidades.
CVEs
Número da CVE |
Efeito |
Acesso necessário |
Execução remota de código |
Rede |
|
Execução remota de código |
Rede |
Kerberos do Windows
Kerberos é o backbone da arquitetura de domínio do Windows. É o mecanismo de autenticação padrão, substituto do NTLM. Duas vulnerabilidades foram corrigidas desta vez. Ambas podem ser usadas para elevação de privilégios e têm uma pontuação CVSS de 8,1 e 7,2, respectivamente.
Além da aplicação de patches, os administradores de sistema devem ler os KBs (KB5020805, KB5021131) que foram lançados pela Microsoft para alterações específicas necessárias no registro.
O impacto
Um invasor que explorar com êxito essa vulnerabilidade poderá obter privilégios de administrador.
Onde está a vulnerabilidade?
CVE-2022-37966
Antes deste patch, a criptografia padrão na negociação Kerberos costumava ser RC4-MD5. RC4 é uma criptografia de cifra de fluxo, o que significa que o texto cifrado é criado ao fazer XORing do texto sem formatação com um fluxo de cifra. Ele é considerado fraco porque pode ser facilmente quebrado offline com ferramentas como John the Ripper. A vulnerabilidade está nesta configuração padrão.
Quando um invasor negocia com um Active Directory, ele pode enviar uma solicitação especialmente criada para este fim que usará a autenticação padrão do Kerberos. Depois de uma solicitação bem-sucedida, o invasor pode usar a chave de sessão Kerberos e decifrá-la para fins de elevação de privilégios.
A configuração padrão para a negociação Kerberos será corrigida por meio da chave de registro ms-DS-SupportedEncryptionType, que será definida como criptografia AES (0x27) por padrão.
CVE-2022-37967
Esta vulnerabilidade está na extensão do Certificado de Atributo de privilégio (PAC) no Kerberos. Essencialmente, PAC é um "contêiner" de informações de vários campos: UserId, GroupsIDs, AccountDomainId e mais. As informações de PAC são adicionadas às permissões Kerberos por um controlador de domínio.
Observando o KB lançado pela Microsoft para o CVE, acreditamos que a vulnerabilidade pode ser explorada para burlar a validação da assinatura PAC que está sendo enviada ao servidor. Isso significa que as estruturas de PAC enviadas com assinaturas inválidas ou ausentes podem ignorar o processo de validação e resultar em escalonamento de privilégios.
Este patch é a primeira etapa de uma versão em fases do CVE-2022-37067. Ele inclui uma correção para CVE-2022-37967, desativada por padrão. As próximas fases estão planejadas entre 13 de dezembro de 2022 a 10 de outubro de 2023, o que permitirá a auditoria e a execução parcial, respectivamente.
Para o CVE-2022-37967, o patch adicionará o valor 2 à chave de registro KrbtgtFullPacSignature. Esse valor permite a auditoria de PACs no sistema, e os administradores do sistema podem usá-lo para rastrear anormalidades.
A chave KrbtgtFullPacSignature terá a opção de aplicar ou negar assinaturas PAC inválidas ou ausentes para lidar com esta vulnerabilidade.
Escopo
O Kerberos faz parte de todas as arquiteturas de domínio do Windows.
CVEs
Número da CVE |
Efeito |
Acesso necessário |
Elevação de privilégio |
Rede |
|
Elevação de privilégio |
Rede |
RPC Netlogon
O protocolo remoto Netlogoné o protocolo usado para autenticação de usuário e máquina em ambientes de domínio do Windows. Também é usado para sincronização entre controladores de domínio. Como tal, é bastante proeminente nas redes de domínio do Windows, e é por isso que o CVE-2022-38023 pode afetar a maioria dos ambientes.
O impacto
Um invasor pode obter privilégios administrativos no domínio ao abusar desta vulnerabilidade.
Onde está a vulnerabilidade?
Com base no KB que a Microsoft lançou para o CVE, parece que o CVE é relevante quando as conexões Netlogon ocorrem com a assinatura RPC não com a vedação RPC. Na assinatura RPC, as mensagens RPC são assinadas apenas pelo remetente, e o receptor faz a correspondência do conteúdo da mensagem com a assinatura para verificar a integridade. A vedação RPC, por sua vez, criptografa toda a mensagem.
Com base nos logs de eventos relevantes mencionados (IDs de evento 5838–5841 no log de eventos do sistema), acreditamos que a vulnerabilidade pode estar no tratamento ou verificação incorretos da assinatura, especificamente ao lidar com a criptografia RC4-HMAC.
Recomendações gerais
Este patch é a primeira etapa de uma versão em fases. Ele corrige o CVE e também introduz uma nova chave de registro, RequireSeal, que será usada para aplicar a vedação RPC. Como parte da primeira etapa, a chave do registro é definida por padrão para o modo de compatibilidade, mas pode ser desativada por um administrador de domínio. O modo de compatibilidade fará com que os controladores de domínio permitam conexões vulneráveis de clientes de terceiros, mas aplicará a vedação RPC em máquinas Windows e controladores de domínio.
As próximas fases, planejadas para 11 de abril e 11 de julho de 2023, removerão a opção de desativar a ativação e, em seguida, o modo de compatibilidade, respectivamente.
Recomendamos que os administradores de domínio não desativem a nova aplicação após o patch e, em vez disso, trabalhem na atualização de clientes que usam a assinatura RPC. Se você não conseguir resolver esses problemas de maneira rápida e seja necessário permitir a assinatura RPC, recomendamos que você desative pelo menos a assinatura MD5 mais fraca usando a chave de registro preexistente RejectMD5Clients.
CVEs
Número da CVE |
Efeito |
Acesso necessário |
Elevação de privilégio |
Rede |
Serviços cobertos anteriormente
Há muitos outros CVEs cobertos na Patch Tuesday deste mês, e não poderemos discutir todos eles. Alguns destes CVEs destinam-se a serviços e recursos que já abordamos nas análises anteriores da Patch Tuesday. Caso tenha interesse em nossa análise ou em recomendações gerais sobre estes serviços, recomendamos que visite nossas postagens anteriores.
Serviço |
Número da CVE |
Efeito |
Acesso necessário |
Execução de código remota |
Autenticado como membro do website |
||
Falsificação |
Autenticado com permissões de criação de página |
||
Execução remota de código |
Rede |
||
Negação de serviço |
Rede |
||
Execução de código remota |
Usuário acessando servidor mal-intencionado |
||
Divulgação de informações |
Autenticado com credenciais de administrador |
Este resumo fornece uma visão geral da nossa compreensão e das nossas recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações.
Para maiores informações sobre pesquisas recentes de segurança, siga-nos no Twitter!