Perspectiva da Akamai sobre a Patch Tuesday de outubro de 2022

Conexão de cluster de Kubernetes habilitado com Azure Arc

O Azure Arc permite que os clientes conectem a infraestrutura local ao Azure para facilitar o gerenciamento. Sendo assim, os clientes podem gerenciar todos os seus ambientes, máquinas virtuais, clusters do Kubernetes, bancos de dados, servidores e muito mais, usando um gerenciador de recursos, o Azure Resource Manager. O Kubernetes habilitado para Azure Arc permite que o usuário anexe e configure o Kubernetes independentemente de onde ele está sendo executado, seja em um ambiente de nuvem ou no local, e o apresenta no Azure Resource Manager. 

Este mês, houve uma vulnerabilidade de Elevação Crítica de Privilégio com uma pontuação CVSS de 10 na funcionalidade Kubernetes Cluster Connect habilitado para o Azure Arc. O Cluster Connect é a funcionalidade que permite que o cliente conecte facilmente seu cluster do Kubernetes aos serviços do Azure Arc ao executar um agente proxy reverso no cluster. Ele também permite que os usuários se conectem ao apiserver de seus clusters sem habilitar nenhuma porta de entrada no firewall. Acreditamos que este é um dos fatores que deu a este CVE sua pontuação máxima, uma vez que qualquer um pode acessá-lo da internet.

De acordo com a Microsoft, para explorar essa vulnerabilidade, um invasor precisa saber o ponto de extremidade DNS externo gerado aleatoriamente para o cluster e deve ter acesso à internet. Em caso de exploração bem-sucedida, o recurso Cluster Connect permitirá que um usuário não autenticado eleve seus privilégios como administradores de cluster, o que pode conceder a eles o controle sobre o cluster do Kubernetes. O Azure Stack Edge também é vulnerável a este CVE quando está conectado a um Azure Arc vulnerável, pois permite que os clientes implementem cargas de trabalho do Kubernetes em seus dispositivos via Azure Arc.

Recomendações gerais

Como o recurso Kubernetes Cluster Connect habilitado para o Azure Arc se comunica pela porta TCP 443, a segmentação dessa porta não é simples. No entanto, a boa notícia é que, se você estiver usando o Azure Arc, sua atualização automática é ativada por padrão, portanto, você deverá estar protegido. Se você não tem certeza de estar protegido ou não, poderá verificar aqui para ver se a atualização automática está ativada. Se não estiver, use este manual para atualizar seu agente.

CVEs

Microsoft CryptoAPI

O Microsoft CryptoAPI é uma forma proprietária da Microsoft para lidar com conexões seguras e verificação de assinatura de código. Uma das funções mais significativas da CryptoAPI é o manejo de certificados.

A Microsoft corrigiu um problema com a biblioteca CryptoAPI na Patch Tuesday de agosto de 2022. Esse problema foi relatado pelo Centro de Cibersegurança Nacional do Reino Unido e pela Agência de Segurança Nacional dos EUA, o comunicado tendo sido publicado em outubro. 

Acreditamos que a mudança mais relevante aconteceu em crypt32.dll, onde a função CreateChainContextFromPathGraph mudou. Presumimos que a vulnerabilidade esteja relacionada a essas alterações.

CreateChainContextFromPathGraph está sendo chamado por CertGetCertificateChain, que é uma comando de API bem documentado executado cada vez que uma conexão segura é feita para criar um contexto de cadeia de certificados. Atualmente, suspeitamos que a vulnerabilidade esteja em uma verificação ausente dentro da função.

Se bem-sucedido, um invasor pode falsificar sua identidade e se disfarçar como um parceiro legítimo em uma conexão segura. Para isso, o invasor provavelmente precisa executar um ataque machine-in-the-middle. Além disso, é nosso entendimento  a partir das notas de patch  que o invasor não precisa autenticar para explorar essa vulnerabilidade. Um invasor também pode manipular o certificado X509 para ignorar a proteção de assinatura de código.

Recomendações gerais

A Microsoft ressalta que a vulnerabilidade pode ser explorada remotamente e sem a necessidade de autenticação.  Como o Microsoft CryptoAPI é amplamente usado no Windows e está presente em cada ponto de extremidade do Windows, recomendamos instalar o patch. Também cabe notar que esta vulnerabilidade foi corrigida na Patch Tuesday de agosto. Portanto, as máquinas que contêm atualizações a partir de agosto estão protegidas contra essa vulnerabilidade.

CVEs

Protocolo de tunelamento ponto a ponto do Windows 

O Protocolo ponto a ponto (PPP) é integrado ao servidor de acesso remoto (RAS) e fornece recursos de enquadramento e autenticação para conexões remotas.

Sete vulnerabilidades foram corrigidas no PPP este mês: todas elas são vulnerabilidades críticas de execução remota de código (RCE) com uma pontuação CVSS de 8,1. Agosto passado, o mesmo pesquisador, Yuki Chen, encontrou duas vulnerabilidades de RCE no mesmo protocolo com uma pontuação CVSS de 9,8.

De acordo com as recomendações da Microsoft, um invasor não autenticado remoto pode obter a execução de código em um servidor com protocolo de tunelamento ponto a ponto (PPTP) ao enviar um pacote PPTP malicioso. No entanto, acredita-se que a exploração de todas as sete vulnerabilidades seja improvável devido à complexidade do ataque, requer a obtenção de uma condição não determinística e que pode exigir tempo. 

Qual é o nível de destaque do PPTP? De todos os servidores Windows que consultamos em nossos ambientes monitorados, 40% dos servidores recebem conexões pela porta 1723, que é a porta padrão para o PTTP. Quanto aos servidores expostos à internet, Shodan relata 3,3 milhões de servidores que utilizam a porta 1723; no entanto, quase nenhum deles executa o Windows.

Onde está o bug? Suspeitamos que as vulnerabilidades estejam no raspptp.sys, o driver que implementa o PPTP.

Recomendações gerais

A Microsoft ressalta que a vulnerabilidade só pode ser explorada através de comunicação pela porta 1723. Assim, além da aplicação de patches, a exploração pode ser impedida pela segmentação de servidores RAS na rede e pelo bloqueio de conexões nessa porta. No entanto, deve-se observar que o bloqueio da porta pode interromper a comunicação regular.

CVEs

Microsoft Office

O Microsoft Office é um conjunto de software cliente. A Patch Tuesday de outubro corrigiu várias vulnerabilidades importantes nas aplicações do Office.  Três das vulnerabilidades podem levar à execução arbitrária de código se forem exploradas com sucesso por um agente mal-intencionado. Outra vulnerabilidade (CVE-2022-38001) é uma vulnerabilidade de falsificação, que supomos levar à coerção de autenticação. Como a Microsoft descreve os problemas como não acionáveis a partir do Painel de Visualização, supomos que essas vulnerabilidades estejam relacionadas a macros, pois elas exigem interação do usuário antes de serem exibidas/executadas. 

Recomendações gerais

As vulnerabilidades estão relacionadas ao pacote de aplicações do Microsoft Office e não ao Office 365. Portanto, os clientes que usam o Microsoft Office devem atualizar suas máquinas. Como as várias aplicações do Microsoft Office expõem uma grande superfície de ataque e têm vulnerabilidades recorrentes, recomendamos o uso do Application Guard para Office, se possível. O Application Guard irá colocar o processo no modo seguro que abre os anexos e, portanto, evitará danos à máquina host em caso de exploração bem-sucedida.

CVEs

Serviços de Certificados do Active Directory

Os Active Directory Domain Services (AD DS, serviços de domínio do Active Directory) estão entre os principais componentes do Active Directory. Os servidores que executam essa função são os controladores de domínio do Domínio do Windows.

Análise do escopo

Há pelo menos um Windows Server executando o AD DS em cada rede do Domínio do Windows: o controlador de domínio.

A vulnerabilidade deste mês está realmente no recurso Serviços de Certificados do Active Directory (AD CS), que não está disponível por padrão, ele requer a instalação de uma função adicional. Em nossos servidores Windows monitorados em ambientes de clientes, notamos que 66% de nossas redes monitoradas têm um servidor com a função AD CS.

Sabe-se que o AD CS é abusado por invasores. No mais notório exemplo recente,  PetitPotam, ele foi usado no fluxo de ataque como o alvo para retransmissão NTLM (usando excelente pesquisa realizada pelo SpecterOps).

Recomendações gerais

Como os servidores AD CS não são comuns, deve ser possível usar a segmentação de rede para limitar ou ter visibilidade de conexões anômalas. Como a autenticação AD CS ocorre por meio de RPC,pode ser difícil detectá-la apenas com metadados de conexão (já que ela ocorre em uma porta efêmera aleatória), que é o que a maioria das soluções de segmentação oferece. Nesse caso, ainda deve ser possível segmentar conexões RPC de saída de servidores Windows (usando a porta do mapeador de ponto de extremidade RPC 135), especialmente para computadores desktop que não deveriam receber conexões RPC.

Análise de CVE

Com o CVE-2022-37976, o ataque não é necessariamente direcionado aos servidores AD CS, mas depende destes como seu único requisito. O ataque é, em vez disso, um ataque de coerção de autenticação em servidores DCOM. De acordo com a Microsoft, um cliente DCOM mal-intencionado pode usar a vulnerabilidade para fazer com que um servidor DCOM se autentique no cliente usando AD CS e retransmita essa autenticação para finalmente chegar a um token de administrador de domínio.

Por outro lado, o CVE-2022-37978 gira em torno da autenticação NTLM. Como as perguntas frequentes da vulnerabilidade especificam que o ataque requer uma machine in the middle (MITM) e está relacionado à autenticação NTLM, acreditamos que essa vulnerabilidade gira em torno de ignorar atenuações de retransmissão NTLM que existem em servidores AD CS.

Microsoft SharePoint 

O Microsoft SharePoint é um sistema de armazenamento e gerenciamento de documentos baseado na Web, que se integra a outros produtos do Microsoft Office. Há quatro vulnerabilidades de RCE este mês, todas com uma pontuação CVSS de 8,8, mas apenas uma delas é crítica  (as outras são importantes). Todas as quatro vulnerabilidades exigem que o invasor seja autenticado e tenha a permissão para "Gerenciar lista". Isso tudo é muito semelhante às vulnerabilidades do mês passado, o que pode significar que a Microsoft teve um problema com seus patches e teve que adicionar mais correções em cima destes.

Escopo

O SharePoint requer uma instalação dedicada e não está disponível por padrão. Ele pode ser instalado em um único servidor ou em um cluster. Em nossos ambientes monitorados, constatamos que 21% das redes tinham pelo menos um servidor SharePoint.

Recomendações gerais

Os servidores SharePoint geralmente servem para o compartilhamento de documentos, o que pode dificultar a segmentação ou restrição do acesso do usuário a eles sem prejudicar as operações normais. No entanto, como as quatro vulnerabilidades exigem privilégios específicos para que a exploração funcione, deve ser possível reduzir a superfície de ataque por meio dessas permissões. A redução e o gerenciamento das permissões do usuário podem ser um processo longo e árduo, portanto, o curso de ação recomendado é corrigir seus servidores.

Provavelmente não será possível descartar todas as permissões para Gerenciar Listas, e talvez a lista de usuários privilegiados possa ser reduzida ou limitada entre bibliotecas ou listas. Além disso, é possível que você possa aumentar o monitoramento desses usuários privilegiados e gerar alertas de segurança sobre anormalidades menores que envolvam as respectivas atividades de logon ou criar regras personalizadas que exijam um alerta de logon e também o acesso ao SharePoint.

CVEs