Perspectiva da Akamai sobre a Patch Tuesday de novembro de 2023

Vulnerabilidades exploradas livremente

CVE-2023-36025 — Windows SmartScreen (CVSS 8,8)

Essa é uma vulnerabilidade de contorno de controles de segurança, que pula o aviso do SmartScreen ao abrir arquivos de atalho da Internet (.URL) ou hiperlinks que direcionam para esses arquivos. Os arquivos de atalho precisam ser criados especificamente para acionar a vulnerabilidade. Não é a primeira vez que vulnerabilidades de contorno de controles de segurança do SmartScreen são ativamente exploradas por invasores. O grupo de análise de ameaças do Google (Google TAG) detectou e reportou que o ransomware Magniber usou uma vulnerabilidade de contorno de controles de segurança do Windows SmartScreen no passado.

CVE-2023-36036 — Windows Cloud Files Mini Filter Driver (CVSS 7,8)

Essa é uma vulnerabilidade de escalonamento de privilégios que permite que invasores obtenham privilégios de SYSTEM. O minifiltro de arquivos na nuvem faz parte dos mecanismos de sincronização na nuvem, que fornecem acesso à WinAPI para sincronizar e trabalhar com sistemas de arquivos baseados na nuvem. O driver do filtro é implementado no arquivo cldflt.sys.

CVE-2023-36033 — Windows DWM Core Library (CVSS 7,8)

Essa é outra vulnerabilidade de escalonamento de privilégios, mas desta vez no Windows Desktop Window Manager (DWM). Ele é responsável por gerenciar as janelas visíveis na tela. O DWM faz parte do Windows desde o Windows Vista e é implementado no processo dwm.exe. Essa vulnerabilidade está especificamente na biblioteca principal dwmcore.dll, que é carregada nesse processo.

Windows Pragmatic General Multicast 

O Windows Pragmatic General Multicast (PGM) é um protocolo criado para fornecer pacotes para vários membros de redes de maneira confiável. No Windows, a implementação desse protocolo é chamada de programação multicast confiável. Uma vulnerabilidade crítica de execução remota de código nesse protocolo, com uma pontuação CVSS de 9,8, foi corrigida nesta Patch Tuesday.

Desde o Windows Server 2003, o PGM tem se baseado em soquetes do Windows. No espaço do usuário, ele é implementado em uma biblioteca chamada wshrm.dll (Windows Sockets Helper DLL para PGM, em que "rm" significa multicast remoto [remote multicast]). No espaço do kernel, o PGM é implementado por meio do driver rmcast.sys.

De acordo com as mitigações da Microsoft nos CVEs, o serviço Message Queuing deve estar em execução para que a vulnerabilidade possa ser explorada. O serviço não é instalado por padrão; ele deve ser adicionado por meio da tela Recursos no painel de controle.

Em nossas observações, percebemos que aproximadamente 50% dos ambientes tinham servidores com o serviço Message Queuing instalado e em execução, e 25% tinham servidores com o PGM instalado. Embora na maioria dos data centers apenas algumas máquinas tivessem o serviço Message Queuing ativado, notamos alguns ambientes em que vários servidores executavam o serviço.

Como a complexidade dos ataques de todas as vulnerabilidades é baixa, recomendamos a aplicação de patches em servidores relevantes o mais rápido possível. Se a aplicação de patches não for possível devido à necessidade de continuidade operacional ou por algum outro motivo, recomendamos restringir o acesso ao serviço usando políticas de segmentação de rede, pelo menos. 

Como o serviço Message Queuing pode ser acessado pela porta 1801, mas provavelmente não será acessado por muitos clientes (já que é usado principalmente pela própria aplicação corporativa), recomendamos restringir o acesso arbitrário à rede a essa porta e serviço. Tente segmentá-lo usando políticas de listas de permissão, concedendo acesso apenas às máquinas que realmente precisam dele.

Microsoft Protected Extensible Authentication Protocol 

O Protected Extensible Authentication Protocol (PEAP) é um protocolo que encapsula o Extensible Authentication Protocol (EAP) em uma sessão TLS. O EAP é usado para autenticar dispositivos e conexões com redes e também é usado na autenticação de rede Wi-Fi.

Os servidores Windows podem ser configurados com uma função opcional chamada Servidor de políticas de rede (NPS), e o NPS pode ser usado para autenticar e permitir solicitações de conexão de rede com EAP e PEAP. Isso não é ativado por padrão: a função NPS deve ser instalada e configurada manualmente. Com base em nossas observações, apenas 21% das redes tinham servidores NPS.

Como o NPS deve ser central para a rede e também processar solicitações de autenticação, pode ser problemático aplicar políticas de segmentação nele. Em vez disso, a Microsoft diz que uma possível mitigação seria bloquear o PEAP nas negociações de protocolo e fornece duas fontes para tal.

Neste mês, uma vulnerabilidade crítica de execução remota de código (CVE-2023-36028) com uma pontuação de 9,8 foi corrigida.