Perspectiva da Akamai sobre a Patch Tuesday de novembro de 2024

CVE-2024-43451 — Plataforma MSHTML do Windows (CVSS 6,5)

As notas da CVE mencionam que a plataforma MSHTML foi o componente afetado, então é nisso que vamos nos concentrar.

MSHTML é um renderizador de página da Web para o sistema operacional Windows. Ele expõe uma interface Component Object Model (COM) para permitir que os programas adicionem recursos de renderização da Web. É usado pelo Internet Explorer, o modo Internet Explorer do Microsoft Edge, o Microsoft Outlook e vários outros programas.

Várias vulnerabilidades foram encontradas na plataforma MSHTML no passado (incluindo algumas encontradas por pesquisadores da Akamai), e ela é um alvo de exploração atraente para invasores por sua capacidade de burlar mecanismos de defesa e por ser um recurso integrado no Windows.

Desta vez, parece que um arquivo especialmente criado pode causar um vazamento de hash NTLMv2 quando o arquivo é aberto por um usuário. NTLM é um dos protocolos de autenticação no Windows, e um vazamento do hash de senha pode levar a ataques de retransmissão de autenticação, ou o hash de senha pode ser usado em decifrações offline para obter a senha de texto não criptografado do usuário.

O VMSwitch é um componente do Hyper-V, que é a implementação da Microsoft de um hipervisor. Além de seu uso em máquinas virtuais em execução, o Hyper-V desempenha um papel importante na segurança em versões mais recentes do Windows, fornecendo um hipervisor privilegiado e seguro além do kernel.

O VMSwitch é o driver responsável pelo tráfego de rede entre VMs (máquinas virtuais) hospedadas no Hyper-V. É um componente paravirtualizado; ou seja, quando um convidado do Hyper-V interage com ele, ele é executado diretamente no host. Isso o torna um alvo de pesquisa lucrativo, pois permite ataques de convidado para host.

Surpresa! A CVE-2024-43625 é exatamente sobre isso. Um invasor ativo em um convidado do Hyper-V pode enviar solicitações de rede especificamente criadas para o VMSwitch, gerando um bug "use after free" que pode ser explorado para executar código no contexto do host. É algo ainda mais lucrativo se você lembrar que o Hyper-V também é o hipervisor do Microsoft Azure, então o impacto dessa vulnerabilidade pode ser significativo.

Essa não é a primeira vez que o VMSwitch foi visado. Na verdade, nós mesmos o pesquisamos e encontramos uma vulnerabilidade de RCE com pontuação 9,9 em 2021. Até mesmo apresentamos nossas descobertas na BlackHat daquele ano.

Além da vulnerabilidade crítica, existem mais duas CVEs que afetam o Hyper-V:

É possível detectar o uso do Hyper-V executando o seguinte osquery:

Em nossas observações, 93% dos ambientes tinham máquinas com o Hyper-V habilitado, e elas totalizavam 25% da rede, em média.

Kerberos é o backbone da arquitetura de domínio do Windows. É o mecanismo de autenticação padrão, substituto do NTLM. Apenas uma vulnerabilidade crítica no Kerberos foi corrigida neste mês: CVE-2024-43639 (CVSS 9,8).

A exploração bem-sucedida do ataque resulta na execução remota de código e não requer nenhuma autenticação. Isso, juntamente com a observação de que se trata de uma vulnerabilidade criptográfica, nos faz acreditar que o ataque pode ter como alvo o processo de pré-autenticação do Kerberos, que ocorre em um logon inicial no domínio. Isso significa que o ataque teria controladores de domínio como alvos principais, mas é possível que ele possa ser ajustado para funcionar em qualquer outra máquina do Windows. Se a vulnerabilidade criptográfica de fato residir na implementação da análise de tíquetes, é possível aplicá-la durante as etapas posteriores do processo de autenticação.

SMBv3 refere-se à execução de um servidor de arquivos SMB através do protocolo QUIC, que é um protocolo de transporte mais recente. (Ele foi implementado em 2012 e padronizado em 2021. Para referência, o TCP foi implementado em 1974 e padronizado em 1980.) Ele foi desenvolvido com base no UDP e é compatível com multiplexação, criptografia e mais. A Microsoft também está incorporando o QUIC no Windows, e as versões mais recentes do Windows (11 e Server 2025) já são compatíveis de várias maneiras.

Com a CVE-2024-43447, um client malicioso pode acionar um bug "double free" no servidor SMBv3 visado, o que pode levar à execução remota de código se explorado com sucesso. Embora os danos possam ser graves, o fato de o QUIC ainda não ser difundido faz com que o potencial impacto real seja bastante baixo. De acordo com nossas análises, apenas 8% dos ambientes possuem servidores com o QUIC habilitado. Desses 8%, a porcentagem com servidores SMBv3 é ainda menor, pois ele não está ativado por padrão.

Para fins de precaução, os administradores de rede podem restringir o tráfego QUIC usando segmentação, já que ele se comunica pela porta UDP 443. Alternativamente, eles podem desabilitar a compatibilidade com o QUIC em seus servidores de arquivos SMB, se tiverem algum.

Além dessa vulnerabilidade, há outra vulnerabilidade de negação de serviço no SMB regular: a CVE-2024-43642.

Muitas CVEs na Patch Tuesday deste mês destinam-se a sistemas que já abordamos no passado. Caso tenha interesse em nossa análise ou recomendações gerais sobre esses serviços, recomendamos que consulte nossas perspectivas anteriores nas postagens do blog da Patch Tuesday.