Perspectiva da Akamai sobre a Patch Tuesday de setembro de 2024
Hora de se informar! Nosso tópico principal: CVEs. Assim como acontece todo mês, o grupo de inteligência de segurança da Akamai se mobilizou para analisar as vulnerabilidades mais intrigantes que foram corrigidas.
Nesta publicação do blog, avaliaremos quão críticas são as vulnerabilidades e o quanto os aplicativos e serviços afetados são comuns, oferecendo uma perspectiva realista sobre os bugs que foram corrigidos. Atente-se a esses insights nos dias após cada Patch Tuesday.
Este é um relatório contínuo, e traremos mais informações, conforme o avanço da nossa pesquisa. Fique atento!
Neste mês, estamos abordando as seguintes áreas em que os bugs foram corrigidos:
Vulnerabilidades em livre exploração
CVE-2024-43491 — Atualização do Microsoft Windows (CVSS 9,8)
Um problema com o número de compilação da atualização de segurança de março desencadeou um bug na parte do Windows Update que lida com componentes opcionais. Isso fez com que o Windows Update determinasse que as atualizações subsequentes não eram aplicáveis e revertesse esses componentes para suas versões base.
De acordo com a Microsoft, o bug no Windows Update não foi explorado publicamente, mas alguns dos componentes afetados tiveram vulnerabilidades exploradas publicamente, daí as categorizações.
Para lidar com esta CVE, você deve instalar a atualização de segurança KB5043083 e a atualização da pilha de manutenção KB5043936.
Os componentes afetados são:
Active Directory Lightweight Directory Services
Ferramentas administrativas
ASP.NET 4.6
Internet Explorer 11
Internet Information Services
LPD Print Service
Microsoft Message Queue (MSMQ) Server Core
MSMQ HTTP Support
MultiPoint Connector
SMB 1.0/CIFS File Sharing Support
Windows Fax and Scan
Windows Media Player
Cliente de pastas de trabalho
Visualizador XPS
Você pode verificar se algum desses componentes está habilitado em seu computador usando a seguinte OSQuery:
SELECT
name, caption, statename
FROM
windows_optional_features
WHERE
caption IN (
'Active Directory Lightweight Directory Services',
'Administrative Tools',
'ASP.NET 4.6',
'Internet Explorer 11',
'Internet Information Services',
'LPD Print Service',
'Microsoft Message Queue (MSMQ) Server Core',
'MSMQ HTTP Support',
'MultiPoint Connector',
'SMB 1.0/CIFS File Sharing Support',
'Windows Fax and Scan',
'Windows Media Player',
'Work Folders Client',
'XPS Viewer'
)
AND state = 1
CVE-2024-38014 — Windows Installer (CVSS 7,8)
O Windows Installer (msiexec.exe) é o componente no Windows responsável pelo manuseio e instalação de arquivos .msi. Não há muitos detalhes sobre essa vulnerabilidade, mas dado que a exploração bem-sucedida resulta em privilégios de sistema, o problema pode ser com o serviço Windows Installer (que aponta para msiexec também) e não apenas o binário.
CVE-2024-38226 — Recursos de segurança do Microsoft Publisher (CVSS 7,3)
Os recursos de segurança do Microsoft Publisher destinam-se a proteger os usuários contra documentos nocivos e maliciosos do Microsoft Office. Os invasores podem incorporar partes maliciosas de código, na forma de macros, em documentos do Office. Os recursos de segurança do Publisher impedem a execução automática de macros e, em vez disso, apresenta aos usuários uma mensagem pop-up para confirmar sua execução.
Na CVE-2024-38226, essas proteções são burladas, permitindo que código malicioso seja executado automaticamente quando o documento é aberto.
CVE-2024-38217 — Mark-of-the-Web do Windows (CVSS 5,4)
Pelo segundo mês consecutivo, o Mark-of-the-Web é burlado novamente. Mark-of-the-Web é o recurso de segurança responsável por marcar arquivos potencialmente perigosos baixados da internet, o que aciona o aviso de segurança SmartScreen ao abri-los. O aviso é pulado. A vulnerabilidade requer que o invasor crie um arquivo de uma maneira específica que fará com que o Windows SmartScreen falhe ao verificar o arquivo e, portanto, ignore a tela de aviso.
No mês passado, não foi a primeira vez que as vulnerabilidades de desvio do SmartScreen foram ativamente exploradas por agentes de ameaça. As correções de novembro de 2023 e fevereiro de 2024 também incluíram soluções para vulnerabilidades de desvio que foram relatadas como ativamente exploradas.
Além das CVEs exploradas livremente, houve outra CVE corrigida neste mês, a CVE-2024-43487, com uma pontuação CVSS de 6,5.
O Microsoft SharePoint é um sistema de armazenamento e gerenciamento de documentos baseado na Web que se integra a outros produtos do Microsoft Office. Existem cinco CVEs neste mês, duas vulnerabilidades críticas de execução remota de código (RCE) com pontuações CVSS de 8,8 (CVE-2024-38018) e 7,2 (CVE-2024-43464. As outras são mais duas vulnerabilidades de RCE e uma CVE de negação de serviço (DoS).
A CVE-2024-38018 requer que os invasores se autentiquem no servidor SharePoint com uma conta que tenha pelo menos permissões de SiteMember. Não há detalhes sobre o que o invasor deve fazer para acionar a execução de código.
A CVE-2024-43464, a CVE-2024-38227e a CVE-2024-38228 exigem permissões SiteOwner. Elas também exigem o carregamento de um arquivo criado e seu acesso por uma solicitação de API. Isso acionaria a desserialização dos parâmetros de arquivo e causaria a injeção de código no processo do servidor SharePoint.
Em nossas observações, constatamos que aproximadamente 30% dos ambientes tinham pelo menos uma máquina com um servidor SharePoint instalado .
Como os servidores do SharePoint geralmente são usados para compartilhamento de documentos, pode ser difícil segmentar ou limitar o acesso dos usuários a eles sem prejudicar as operações normais. Portanto, recomendamos que você corrija seu servidor o mais rápido possível.
No entanto, considerando que as CVEs de RCE requerem a autenticação do usuário, pode ser possível mitigar alguns dos riscos protegendo o acesso do usuário ou aumentando a sensibilidade de alerta em atividades ou logins de usuário suspeitos.
Tradução de endereço de rede do Windows (NAT)
A tradução de endereço de rede (NAT) é uma forma de rede que mapeia vários endereços IP por trás de um único endereço IP. Seu principal uso é a separação de rede, colocando toda a faixa de IP de rede interna atrás de um único IP externo.
Neste mês, a CVE-2024-38119 é uma vulnerabilidade RCE crítica na NAT do Windows, que requer ganhar uma condição de corrida para que seja explorada com sucesso. Não está claro qual componente específico no Windows é responsável pela NAT, e como a NAT ocorre antes da pilha de rede típica, a segmentação provavelmente não é uma possível mitigação. Como tal, recomendamos a aplicação de patches como a única mitigação.
Microsoft SQL Server
Existem 13 CVEs no servidor Microsoft SQL Server (MSSQL) neste mês. Nove delas são do recurso de Pontuação Nativa no MSSQL (que é um recurso de machine learning para prever valores de dados com base em modelos pré-treinados); dessas nove, seis são de RCE. E há outras quatro CVEs no servidor MSSQL nativo.
Como os servidores SQL geralmente armazenam informações confidenciais, eles devem ser segmentados e ter restrições de controle de acesso para evitar incidentes de roubo de dados. Se você não tiver essas políticas, esta é uma boa oportunidade para adicioná-las. Mapeie seus servidores MSSQL existentes (procurando o serviço MSSQL ou procurando conexões nas portas 1433 e 1434).
Depois de mapear os servidores existentes, crie políticas de segmentação com base no tráfego existente e outros segmentos que devem ter acesso (como TI para todos, financeiro para financeiro, etc.). Esta também é uma boa oportunidade para ver quem não está se comportando bem e acessando bancos de dados que não deveriam tocar.
Observamos que 75% das redes têm servidores MSSQL.
Serviço |
Número de CVE |
Efeito |
|---|---|---|
Pontuação Nativa do Microsoft SQL Server |
Execução remota de código |
|
Divulgação de informações |
||
Microsoft SQL Server |
||
Elevação de privilégio |
||
Serviços abordados anteriormente
Muitas CVEs na Patch Tuesday deste mês destinam-se a sistemas que já abordamos no passado. Caso tenha interesse em nossa análise ou recomendações gerais sobre esses serviços, recomendamos que consulte nossas perspectivas anteriores nas postagens do blog da Patch Tuesday.
Serviço |
Número de CVE |
Efeito |
Acesso necessário |
|---|---|---|---|
Negação de serviço |
Rede |
||
Elevação de privilégio |
Rede |
||
Execução remota de código |
Rede, com o serviço NetNAT habilitado |
||
Falsificação |
Rede |
||
Serviço de Licenciamento de Área de Trabalho Remota do Windows |
Execução remota de código |
Rede, qualquer usuário autenticado |
|
Divulgação de informações |
Rede |
||
Negação de serviço |
|||
Falsificação |
Este resumo fornece uma visão geral da nossa compreensão e das nossas recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações. Você também pode nos visitar no X, antigo Twitter, para receber atualizações em tempo real.