Perspectiva da Akamai sobre a Patch Tuesday de outubro de 2023
Assim como acontece todo mês, o Akamai Security Intelligence Group analisou as vulnerabilidades mais intrigantes que foram corrigidas. Dos 105 CVEs corrigidos nesse mês, 12 foram críticos. A classificação de CVE mais alta foi 9,8. Relatou-se também que três vulnerabilidades foram exploradas livremente.
O relatório deste mês é menor do que o normal e concentra-se nas vulnerabilidades que foram exploradas no ecossistema.
Vulnerabilidades exploradas livremente
CVE-2023-44487 — ataque de redefinição rápida HTTP/2 (CVSS 7,5)
É uma vulnerabilidade de negação de serviço (DoS) que foi descoberta e relatada pelo Google, Cloudflaree Amazon. A vulnerabilidade possibilitou o maior ataque de DDoS (negação de serviço distribuída) até o momento, e depende de uma técnica chamada "redefinição rápida" em HTTP/2, que, por sua vez, utiliza a multiplexação de fluxos.
Mitigação
Esse ataque, embora seja novo, ocorre no nível do protocolo e seria mitigado pela Akamai em nome dos seus clientes da mesma maneira que qualquer outro ataque de DDoS de camada 7 com recursos de produtos de segurança, como controles de taxa, firewall de aplicações da Web, Bot Manager Premier ou Client Reputation.
Os servidores da Web que usam HTTP/2 e não são protegidos pela Akamai devem instalar patches de fornecedores ou desativar o HTTP/2 completamente para impedir a exploração desse CVE.
A Microsoft sugere uma solução alternativa para desativar o HTTP/2 por meio de duas chaves de registro EnableHttp2TIs e EnableHttp2Cleartext. Esta é uma consulta Osquery que os clientes da Akamai Guardicore Segmentation podem usar para ler esse valor entre servidores na rede:
SELECT name, data FROM registry
WHERE path = "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\EnableHttp2TIs" or path = "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\EnableHttp2Cleartext";
CVE-2023-36563 — vulnerabilidade de divulgação de informações do Microsoft WordPad (CVSS 6,5)
Essa vulnerabilidade permite que um invasor vaze o hash NTLM de uma vítima. A violação é feita executando uma aplicação especialmente desenvolvida, e também pode ocorrer convencendo a vítima a abrir um arquivo malicioso. Não temos todos os detalhes sobre como essas credenciais podem ser divulgadas, mas é provável que o ataque envolva o vazamento por SMB.
O Microsoft WordPad é instalado em todos os pontos de extremidade do Windows.
Mitigação
Além da aplicação de patches, recomendamos o seguinte:
Usar a microssegmentação para bloquear o tráfego SMB (porta TCP 445) do processo do WordPad (wordpad.exe) para destinos da Internet.
No Windows 11, é possível desativar o envio automático de hashes NTLM para locais remotos através de Políticas de Grupo: Modelos administrativos > Rede > Estação de trabalho Lanman > Bloquear NTLM.
CVE-2023-41763 — vulnerabilidade de elevação de privilégio do Skype for Business (CVSS 5,3)
A última vulnerabilidade que foi explorada livremente está no Skype for Business. Um invasor pode fazer uma chamada especial para o servidor alvo do Skype for Business, que faria uma solicitação para um endereço arbitrário (controlado pelo invasor) e divulgaria endereços IP e/ou números de porta. Essas informações às vezes podem fornecer acesso a redes internas, o que dá a essa vulnerabilidade sua classe de elevação de privilégio.
Mitigação
Aconselhamos os clientes a corrigir seus servidores do Skype conforme as instruções da Microsoft
Este resumo fornece uma visão geral da nossa compreensão e das nossas recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações. Você também pode visitar nossa conta do Twitter para obter atualizações em tempo real.
