Perspectiva da Akamai sobre a Patch Tuesday de setembro de 2023
Assim como acontece todo mês, o grupo de inteligência de segurança da Akamai se mobilizou para analisar as vulnerabilidades mais intrigantes que foram corrigidas.
Administradores da Microsoft: Preparem-se! Dos 65 CVEs corrigidos este mês, apenas dois eram críticos. A classificação de CVE mais alta foi 8.8. Existem também duas vulnerabilidades relatadas como exploradas no ecossistema. Em comparação com os meses anteriores, estes números são baixos!
Neste relatório, avaliaremos o quanto as vulnerabilidades são realmente críticas e o quanto os aplicativos e serviços afetados são comuns, para oferecer uma perspectiva realista sobre os bugs que foram corrigidos. Você também pode ver um rápido resumo do patch em nossa conta do Twitter. Atente-se a esses insights nos dias após cada Patch Tuesday.
Este é um relatório de atualização e vamos incluir mais informações, conforme o avanço de nossa pesquisa. Fique atento!
Este mês, nos concentramos nas seguintes áreas nas quais os bugs foram corrigidos:
Vulnerabilidades exploradas no ecossistema
CVE-2023-36802 – Microsoft Streaming Service Proxy (CVSS 7.8)
O Microsoft Streaming Service Proxy está relacionado ao Microsoft Stream, o sucessor do Office 365 Video. O serviço é chamado de "MSKSSRV" e é implementado em %WinDir%\System32\drivers\MSKSSRV.sys. A vulnerabilidade foi explorada no ecossistema, levando a um escalonamento de privilégios.
CVE-2023-36761 – Microsoft Word (CVSS 6.2)
Foi corrigida uma vulnerabilidade explorada no ecossistema no Microsoft Word, com uma pontuação CVSS de 6.2. A vulnerabilidade parece ser uma coerção de autenticação NTLM. A vulnerabilidade também afeta o painel de visualização.
Esta não é a única vulnerabilidade corrigida no Microsoft Word este mês, com outra vulnerabilidade de RCE (CVE-2023-36762) que afetou o Word. Essa vulnerabilidade também afeta o painel de visualização, mas, de acordo com a Microsoft, ao contrário da primeira vulnerabilidade, é improvável que seja explorada.
Serviço de Kubernetes do Microsoft Azure
O Serviço de Kubernetes do Microsoft Azure (AKS) é a plataforma de Kubernetes da Microsoft que permite aos usuários implantar e gerenciar seu ambiente conteinerizado.
Com base nas observações da Microsoft sobre essa vulnerabilidade, sabemos que esse ataque pode ser realizado a partir de uma fonte externa, o que pode indicar um ataque à infraestrutura do AKS em vez de ao próprio cluster.
O resultado final do ataque concederá a um invasor privilégios de administrador no cluster de Kubernetes. Embora pareça grave, a Microsoft também observou que esse ataque tem menos probabilidade de ser explorado.
Em outras notícias relacionadas a Kubernetes, nossa equipe de pesquisa postou uma publicação de blog sobre a CVE-2023-3676, uma vulnerabilidade que permite a execução de código remota, ou RCE (Remote Code Execution), com privilégios SYSTEM em todos os endpoints do Windows em um cluster de Kubernetes. .
Temas do Windows
Temas da Microsoft é um recurso do Windows que permite a um usuário alterar a forma como ícones ou fontes são exibidos, entre outras possíveis alterações.
Um tema pode ser aplicado por qualquer usuário no endpoint, sem precisar de qualquer privilégio. Para explorar a vulnerabilidade corrigida, um invasor precisa "enganar" o usuário para aplicar um arquivo de tema mal-intencionado.
Nas observações da Microsoft sobre esta vulnerabilidade, sabemos que é uma RCE sobre endpoints. Presumimos então que o arquivo de tema fará download de um binário de uma fonte não autorizada em um local que possa levar à sua execução.
Compartilhamento de conexão com a Internet, ou ICS (Internet Connection Sharing)
Uma vulnerabilidade de RCE foi descoberta no serviço de Internet Connection Sharing (ICS).
ICS é um serviço destinado a permitir que um host Windows conectado à Internet atue como um gateway de Internet para outros hosts na rede local que não tenham acesso direto à Internet.
Este serviço destina-se apenas a ser utilizado por hosts na mesma LAN, o que pode explicar por que esta vulnerabilidade é considerada pela Microsoft como explorável apenas a partir de hosts no mesmo segmento de rede.
Exceto para versões antigas do Windows, o serviço ICS "SharedAccess" não deve estar em execução por padrão.
Microsoft Exchange Server
Este mês, houve cinco CVEs no Microsoft Exchange Server – três delas permitem RCE no servidor remoto e as outras duas são vazamento de informações ou vulnerabilidades de falsificação. Todas as vulnerabilidades exigem credenciais para um usuário válido do Exchange.
Em nossas observações, vimos que aproximadamente 28% dos ambientes tinham Microsoft Exchange Servers no local.
É importante observar que as vulnerabilidades listadas aqui foram realmente corrigidas na atualização de software do Exchange de agosto. Assim, os clientes que instalaram esta atualização já estão protegidos.
Número de CVE |
Efeito |
Acesso necessário |
|---|---|---|
Execução de código remota |
Adjacente |
|
Divulgação de informações |
Adjacente |
|
Falsificação |
Adjacente |
|
Execução de código remota |
Adjacente |
|
Execução de código remota |
Adjacente |
Serviços abordados anteriormente
Muitas CVEs na Patch Tuesday deste mês destinam-se a sistemas que já abordamos no passado. Caso tenha interesse em nossa análise ou recomendações gerais sobre esses serviços, recomendamos que consulte nossas perspectivas anteriores nas postagens do blog da Patch Tuesday.
Serviço |
Número de CVE |
Efeito |
Acesso necessário |
|---|---|---|---|
Desvio do recurso de segurança |
Rede |
||
Falsificação |
Local |
||
Elevação de privilégio |
Local |
||
Elevação de privilégio |
Rede |
||
Divulgação de informações |
Rede |
||
Negação de serviço |
|||
Desvio do recurso de segurança |
Servidor de |
Este resumo fornece uma visão geral da nossa compreensão e das nossas recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações. Você também pode visitar nossa conta do Twitter para obter atualizações em tempo real.
