Perspectiva da Akamai sobre a Patch Tuesday de outubro de 2024
É um novo mês e temos um prato cheio de CVEs, mas, ao contrário dos doces, não podemos entregá-las a crianças fantasiadas. Este mês, temos um total de 117 CVEs em 60 componentes diferentes. Destas, três são críticas, duas foram vistas durante o usoe uma foi encontrada por nós.
Nesta publicação do blog, avaliaremos quão críticas são as vulnerabilidades e o quanto os aplicativos e serviços afetados são comuns, oferecendo uma perspectiva realista sobre os bugs que foram corrigidos. Atente-se a esses insights nos dias após cada Patch Tuesday.
Este é um relatório contínuo, e traremos mais informações, conforme o avanço da nossa pesquisa. Fique atento!
Neste mês, concentramo-nos nas seguintes áreas em que os bugs foram corrigidos:
Vulnerabilidades em livre exploração
CVE-2024-43572 — Console de gerenciamento da Microsoft (CVSS 7.8)
O Console de gerenciamento da Microsoft (mmc.exe) é uma interface gráfica para vários componentes.
O Visualizador de eventos do Windows, Gerenciador de serviços, Agendador de tarefas são todos implementados como snap-ins para o Console de gerenciamento da Microsoft, entre muitos outros.
Os snap-ins em si também são arquivos com a extensão .msc, que dizem ao Console de gerenciamento o que exibir e quais recursos oferecer. (Então, quando você executa o Visualizador de eventos, por exemplo, você executa, na verdade, o mmc.exe eventvwr.msc nos bastidores).
A vulnerabilidade parece estar associada ao carregamento de arquivos .msc não confiáveis. Algum manuseio inadequado provavelmente leva a uma execução remota de código (RCE). “Remoto”, neste caso, refere-se à distância entre o invasor e a vítima. A vítima teria que baixar e abrir um .msc malicioso para ativar a vulnerabilidade. Além de corrigir a RCE, o patch deste mês também inclui uma correção que impede o carregamento de .msc não confiável.
CVE-2024-43573 – Plataforma MSHTML do Windows (CVSS 6.5)
MSHTML é um renderizador de página da Web para o sistema operacional Windows. Ele expõe uma interface Component Object Model (COM) para permitir que os programas adicionem recursos de renderização da Web. É usado pelo Internet Explorer, o modo Internet Explorer do Microsoft Edge, o Microsoft Outlook e vários outros programas.
Várias vulnerabilidades foram encontradas na plataforma MSHTML no passado (incluindo algumas encontradas por pesquisadores da Akamai), e ela é um alvo de exploração atraente para invasores devido à sua capacidade de contornar mecanismos de defesa e ao fato de ser um recurso integrado no Windows.
Vulnerabilidades descobertas por pesquisadores da Akamai
CVE-2024-43532 — Serviço de registro remoto (CVSS 8.8)
O Serviço de registro remoto no Windows permite a interação com o Registro do Windows entre computadores remotos e é implementado através do protocolo RPC (Chamada de procedimento remoto). A CVE-2024-43532 foi encontrada pelo pesquisador da Akamai Stiv Kupchik e divulgada em fevereiro de 2024.
A vulnerabilidade realmente existe no lado do cliente da implementação de RPC do Registro Remoto, nas funções RegConnectRegistry e RegConnectRegistryEx. A causa raiz é um mecanismo de fallback nos transportes RPC. Embora o tráfego do Registro Remoto seja geralmente tratado sobre pipes chamados de SMB, a implementação do cliente contém um mecanismo de fallback para TCP caso o pipe nomeado não esteja disponível. E, ao contrário do tráfego SMB, que usa autenticação e criptografia seguras, o tráfego TCP autentica sem verificações de integridade ou criptografia, o que o torna vulnerável a ataques de relay NTLM.
Estamos apresentando essa vulnerabilidade na conferência No Hat 2024, então participe da conferência para ouvi-la ao vivo ou leia a postagem do blog que será publicada após o evento.
Microsoft Configuration Manager
O Microsoft Configuration Manager faz parte da família do software Intune e destina-se a ajudar os gerentes de TI a configurar e gerenciar um grande número de computadores e servidores Windows.
Existem vários componentes em uma configuração do Configuration Manager, mas o que nos interessa é seu banco de dados SQL (Lead Qualificado para Vendas). De acordo com as notas da CVE-2024-43468e seu ID de fraqueza, a exploração bem-sucedida da vulnerabilidade permite executar comandos em seu banco de dados (e, no caso de um monólito, instalação de um único servidor, no servidor principal do Configuration Manager, também).
Como existem patches para o Configuration Manager e para seu aplicativo de console, o problema é que é provável que os valores inseridos no servidor não sejam limpos ou validados antes de serem passados para o banco de dados (em vez de um problema com a segurança do próprio banco de dados). Dessa forma, simplesmente proteger o banco de dados por meio da segmentação provavelmente não reduzirá o impacto dessa vulnerabilidade, embora ainda seja uma boa medida de segurança.
Pode ser possível detectar instalações do Configuration Manager por meio do seguinte osquery:
SELECT display_name, status, start_type, path FROM services WHERE name='SMS_Executive’
Área de Trabalho Remota do Windows
A Área de Trabalho Remota do Windows é usada para conexão da área de trabalho remota entre máquinas Windows por meio do Remote Desktop Protocol (RDP). Há várias vulnerabilidades neste mês em diferentes componentes da Área de Trabalho Remota do Windows, por isso vamos discuti-las todas juntas.
A principal, claro, é a CVE-2024-43582 , uma vulnerabilidade RCE crítica no serviço do lado do servidor. Um invasor “só” precisa se conectar a um servidor RDP, enviar spam com pacotes malformados e ganhar uma condição de corrida, o que pode ser aproveitado para uma RCE.
Como o RDP é muito comum em redes e já que pode ser usado para movimento lateral, recomendamos criar regras de política ao redor dele. Em nossas observações, 89% das redes tinham tráfego RDP do Windows, e 73% das redes tinham o tráfego sem restrições.
A restrição do acesso ao RDP entre máquinas de usuários ou apenas a servidores pré-autorizados (como jump boxes) pode reduzir bastante o risco apresentado por essas vulnerabilidades. Nós cobrimos algumas vitórias rápidas em relação ao RDP em nossa postagem do blog de segmentação. Independentemente da política, recomendamos que você aplique patches o mais rápido possível.
Componente |
Número da CVE |
Pontuação CVSS |
Efeito |
|---|---|---|---|
Servidor do Protocolo de área de trabalho remota |
8.1 |
Execução remota de código |
|
Serviço de Licenciamento de Área de Trabalho Remota do Windows |
7.5 |
||
Remote Desktop Client |
8.8 |
||
8.8 |
|||
Serviços de Área de Trabalho Remota do Windows |
4.8 |
Violação |
Serviços abordados anteriormente
Muitas CVEs na Patch Tuesday deste mês destinam-se a sistemas que já abordamos no passado. Caso tenha interesse em nossa análise ou recomendações gerais sobre esses serviços, recomendamos que consulte nossas perspectivas anteriores nas postagens do blog da Patch Tuesday.
Serviço |
Número da CVE |
Efeito |
Acesso necessário |
|---|---|---|---|
Elevação de privilégio |
Rede, autenticado |
||
Divulgação de informações |
Rede |
||
Windows Routing and Remote Access Service (serviço de roteamento e acesso remoto do Windows) |
Execução remota de código |
Local, requer engenharia social ou phishing |
|
Execução remota de código |
Rede |
||
Elevação de privilégio |
Local |
||
Execução remota de código |
Rede |
Este resumo fornece uma visão geral da nossa compreensão e das nossas recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações. Você também pode nos visitar no X, antigo Twitter, para receber atualizações em tempo real.