Perspectiva da Akamai sobre a Patch Tuesday de setembro
A Patch Tuesday de setembro, da Microsoft, foi lançada,e o Grupo de inteligência sobre a segurança da Akamai se mobilizou para analisar as vulnerabilidades mais intrigantes que foram corrigidas. Neste relatório, tentaremos avaliar o nível real de criticidade das vulnerabilidades, o quanto são comuns as aplicações e os serviços afetados e fornecer nossa própria perspectiva sobre os bugs que foram corrigidos. Fique atento a essas percepções na quinta-feira, após cada Patch Tuesday.
Este é um relatório de atualização e vamos incluir mais informações, conforme o avanço de nossa pesquisa. Fique atento!
Neste relatório, vamos nos concentrar em quatro áreas em que os bugs foram corrigidos:
Para cada serviço afetado que será coberto, vamos tentar oferecer recomendações para monitoramento e mitigação para quando a aplicação de patches não for possível, seja citando as recomendações da Microsoft ou oferecendo soluções alternativas próprias, com base em nossa experiência. É claro que nenhuma mitigação é tão boa quanto a aplicação de patches, portanto, corrija seus sistemas sempre que possível e os mantenha atualizados.
Vulnerabilidades do IPsec
IPsec é um grupo de conjuntos de protocolos de rede seguros que criptografa e autentica pacotes de dados entre computadores por meio de uma rede IP. O IPsec é usado principalmente em VPN.
Esta Patch Tuesday apresentou três vulnerabilidades críticas de execução de código remota em dois protocolos principais no IPSec: IKEv1 e IPv6.
As vulnerabilidades estão presentes no fluxo de código responsável pelo processamento e análise de pacotes recebidos. Por isso, e como eles podem ser acionados remotamente por um invasor não autenticado, todos eles são classificados como críticos e pontuados como CVSS de 9,8.
Extensões de protocolo do Windows Internet Key Exchange
O IKE (Internet Key Exchange) é um dos protocolos comuns usados para negociação de chaves de criptografia.
Escopo
Os sistemas com IPSec habilitado e que usam o IKEv1 são vulneráveis. Os servidores Windows são vulneráveis, pois permitem o IKEv1 e o IKEv2.
Recomendações gerais
Recomenda-se que as organizações desativem o IPSec se ele não estiver em uso.
CVEs
As vulnerabilidades IKE foram encontradas por Yuki Chen, do Kunlun Lab. As vulnerabilidades parecem ser causadas por superfluxos ou subfluxos de números inteiros nas funções IkeQueueRecvRequest, IkeDecryptOakNDPackete IkeDecryptOakPacket, que pode resultar em uma gravação OOB (fora de banda). Essas vulnerabilidades não exigem que um invasor envie várias solicitações, o que torna sua exploração mais viável.
Número da CVE |
Efeito |
Acesso necessário |
Execução remota de código |
Rede |
|
IPv6
Escopo
Os sistemas com IPSec e IPv6 ativados são vulneráveis a este bug.
Recomendações gerais
Recomenda-se que as organizações desativem o IPSec se ele não estiver em uso.
CVE
Número da CVE |
Efeito |
Acesso necessário |
Execução remota de código |
Rede |
Vulnerabilidades do Microsoft Dynamics CRM
O Microsoft Dynamics CRM faz parte do Microsoft Dynamics 365. Embora sejam oferecidas geralmente como um serviço baseado em nuvem, as vulnerabilidades críticas abordadas no patch deste mês são para a instalação no local da aplicação. Ambas as vulnerabilidades são consideradas críticas, com uma pontuação CVSS de 8,8 e foram encontradas pela Fabian Schmidt.
Escopo
O Microsoft Dynamics CRM precisa ser implantado antes que possa ser usado ou acessado e não está disponível por padrão. Como a lista de portas dele é geral, uma boa maneira de encontrá-lo é procurar a chave do registro “HKLM/SOFTWARE/Microsoft/MSCRM”. Nos ambientes por nós monitorados, esse produto era tão raro a ponto de não existir.
Recomendações gerais
Embora a aplicação de patches deva ser a prioridade imediata, nos casos em que não possa ser feita imediatamente, acreditamos que deve ser possível reduzir o vetor de ataque usando segmentação. Isso pode ser feito em dois níveis:
Ringfencing: você pode limitar o escopo de estações de trabalho com acesso aos servidores de CRM, autorizando apenas funcionários relevantes (geralmente, equipes de TI e CS) a entrar no sistema.
Além disso, se os servidores de CRM executarem apenas o CRM e nada mais, você também pode limitar a comunicação de rede à lista de portas necessária para o CRM, de acordo com a documentação da Microsoft.
Segmentação baseada no usuário: como o ataque requer um usuário autenticado, ele também deve ser um bom vetor de mitigação.
CVEs
Número da CVE |
Efeito |
Acesso necessário |
SQLi levando à execução do comando |
Acesso à rede com um usuário autenticado |
|
Vulnerabilidades OLE DB e ODBC
OLE DB e ODBC são especificações de API que foram projetadas para abstrair a conexão entre um consumidor de dados e uma fonte de dados. A ODBC é mais antiga e processual, já o OLE DB é mais recente. Ele é implementado usando o COM (Component Object Model) e compatível com bancos de dados não relacionais.
Onze vulnerabilidades de execução de código remota foram encontradas pelo pesquisador Haifei Li, todas marcadas como importantes e pontuadas como CVSS 8,8. É provável que Li tenha se esforçado muito para explorar os mecanismos usados para a conectividade de BD no Windows. Seis das vulnerabilidades estão no provedor OLE DB para SQL Server e as outras cinco estão no driver ODBC.
Vulnerabilidades OLE DB
As seis vulnerabilidades do OLE DB têm exatamente a mesma descrição do fluxo de ataque nas respectivas seções de perguntas frequentes. A descrição tem um erro (sobre o qual informamos ao Centro de resposta de segurança da Microsoft). Ela menciona um servidor controlado por invasor que, em vez de enviar, recebe um pacote mal-intencionado. A seguir, veja o texto corrigido:
Um invasor pode explorar a vulnerabilidade fazendo com que um usuário autenticado tente se conectar a um servidor SQL mal-intencionado via OLE DB, o que pode resultar no envio de um pacote de rede mal-intencionado pelo servidor. Isso pode permitir que o invasor execute o código remotamente no cliente.
O invasor precisa executar um determinado acionador na máquina vítima, que tentará se conectar a um servidor remoto controlado pelo invasor. O último enviará um pacote mal-intencionado, levando à execução de código no sistema cliente.
Escopo
As bibliotecas responsáveis pela implementação da especificação OLE DB estão disponíveis em todos os sistemas Windows. Portanto, a exploração não exige que qualquer função de aplicação, serviço ou servidor seja instalada em uma máquina para que ela fique vulnerável.
Recomendações gerais
A exploração das vulnerabilidades OLE DB pode ser impedida usando segmentação. Uma lista de permissões de servidores SQL na organização garantirá que nenhuma conexão seja feita com servidores externos desconhecidos, evitando, assim, a cadeia de ataque descrita acima.
CVEs
Número da CVE |
Efeito |
Acesso necessário |
Execução de código remota na rede do provedor OLE DB, |
mas requer interação de usuário autenticado |
|
Vulnerabilidades ODBC
O cenário de ataque (para todas as cinco vulnerabilidades) envolve enganar um usuário autenticado para abrir um arquivo mal-intencionado no Microsoft Access: uma aplicação DBMS (Database Management System) que faz parte do pacote Microsoft 365. O arquivo mal-intencionado deve ser aberto via ODBC, o que acionará o código vulnerável no driver ODBC e levará à execução de código arbitrário na máquina da vítima com o mesmo nível de permissão do processo do Access.
O arquivo mal-intencionado deve estar no formato MDB, que especifica a estrutura e as entradas de um banco de dados, e (opcionalmente) formulários de entrada de dados, consultas, procedimentos armazenados etc. O formato de arquivo MDB é relativamente antigo e seu sucessor do Access 2007, o arquivo .accdb, oferece recursos e capacidades adicionais.
Escopo
De acordo com vários recursos, 135.000 organizações usam o Microsoft Access como sua solução DBMS. Entre os ambientes que monitoramos, 27% dos data centers têm o Microsoft Access instalado em algumas máquinas de rede.
CVEs
Número da CVE |
Efeito |
Acesso necessário |
Execução de código remota na rede do driver ODBC, |
mas requer interação de usuário autenticado |
|
CVEs
Número da CVE |
Efeito |
Acesso necessário |
Execução de código remota |
Acesso à rede com um usuário autenticado com permissões para gerenciar lista |
|
Acesso à rede com um usuário autenticado com permissões para a criação de página |
Vulnerabilidade de tempo de execução da chamada de procedimento remoto
A RPC (Chamada de procedimentoremoto) é usada para comunicações eficientes entre processos. Ela depende de um modelo cliente-servidor padrão e é um dos protocolos mais usados atualmente no Windows. A Microsoft usa a RPC como parte de muitos dos serviços do Windows.
A vulnerabilidade permite que um invasor acesse a funcionalidade no portmap.sys, um serviço que associa um programa Open Network Computing RPC a um endereço de rede.
Escopo
A vulnerabilidade só está presente nos servidores Windows.
CVE
Número da CVE |
Efeito |
Acesso necessário |
Execução remota de código |
Rede |
Vulnerabilidades do Kerberos do Windows
Kerberos é o backbone da arquitetura de domínio do Windows. É o mecanismo de autenticação padrão, substituto do NTLM (New Technology LAN Manager). Há duas vulnerabilidades desta vez, ambas descobertas por James Forshaw. Ambas as vulnerabilidades envolvem o downgrade de criptografia e têm uma pontuação CVSS de 8,1. Ao modificar a conexão entre a vítima e o controlador de domínio para usar a criptografia RC4-md4 mais fraca, um invasor pode violar a chave da sessão Kerberos da vítima para elevação de privilégios.
Escopo
O Kerberos faz parte de todas as arquiteturas de domínio do Windows.
Recomendações gerais
A recomendação da Microsoft é que o recurso de proteção Kerberos seja capaz de proteger contra as duas vulnerabilidades. Você pode consultar isso na página para obter mais informações. O pesquisador de vulnerabilidades, James Forshaw, mencionou que apenas a ativação da proteção Kerberos não é suficiente e que o KDC deve impor esse requisito e não apenas ser compatível com ele.
Além disso, um dos requisitos para que as vulnerabilidades funcionem é que ocorra um ataque de representação (mas Forshaw afirma que não é necessariamente o caso com CVE-2022-33679), de modo que o invasor fique entre a vítima e o controlador de domínio. Os ataques de representação são um vetor de ataque comum e podem ser “ruidosos”. Portanto, o uso de soluções IDS ou IPS, ou a busca ativa de ameaças, pode ajudar a aliviar um pouco do risco.
CVEs
Número da CVE |
Efeito |
Acesso necessário |
Mitigação além da aplicação de patches |
Elevação de privilégios, até o SISTEMA |
Rede, com representação entre vítima e controlador de domínio |
||
Rede |
Ativação da pré-autenticação Kerberos sem a chave RC4 |
Este resumo fornece uma visão geral de nossa compreensão e de nossas recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações.