Perspectiva da Akamai sobre a Patch Tuesday de agosto
pela Pesquisa de segurança da Akamai
A Patch Tuesday da Microsoft de agosto foi lançada, e a equipe de Pesquisa de segurança da Akamai se mobilizou para analisar as vulnerabilidades mais intrigantes que foram corrigidas. Neste relatório, tentaremos avaliar quão críticas as vulnerabilidades realmente são, quão comuns são as aplicações e serviços afetados e fornecer nossa própria perspectiva sobre os bugs que foram corrigidos. Na quarta-feira, após cada Patch Tuesday, fique atento a essas percepções.
Este é um relatório de atualização e vamos incluir mais informações, conforme o avanço de nossa pesquisa. Fique atento!
Neste relatório, focamos em quatro áreas em que os bugs foram corrigidos:
Windows Point-to-Point Protocol (PPP, protocolo ponto a ponto) do Windows
Windows Security Socket Tunneling (SSTP, protocolo de encapsulamento de soquete seguro) do Windows
Network File System (NFS, sistema de arquivo de rede)
Active Directory Certificate Services (AD CS, Serviços de certificados do Active Directory)
Microsoft Exchange Server
Para cada serviço afetado que cobriremos, vamos tentar oferecer recomendações para monitoramento e mitigação para quando a aplicação de patches não for possível, seja citando as recomendações da Microsoft ou oferecendo soluções alternativas próprias, com base em nossa experiência. É claro que nenhuma mitigação é tão boa quanto a aplicação de patches, portanto, corrija seus sistemas sempre que possível e mantê-los atualizados.
Vulnerabilidades do servidor de acesso remoto
Essa Patch Tuesday apresentou vulnerabilidades críticas em dois protocolos principais no Servidor de acesso remoto (RAS): o Protocolo ponto a ponto e o Protocolo de encapsulamento de soquete seguro.
O acesso remoto é uma função do Windows Server que permite aos clientes remotos se conectarem à LAN, semelhante a uma VPN. A função do servidor precisa ser adicionada de maneira ativa.
Protocolo ponto a ponto do Windows
O Protocolo ponto a ponto (PPP) é integrado ao RAS e fornece recursos de enquadramento e autenticação para conexões remotas.
Quatro vulnerabilidades foram encontradas no PPP: duas vulnerabilidades críticas de execução remota de código com uma pontuação CVSS de 9,8 e duas vulnerabilidades de negação de serviço (pontuadas em 7,5 e 5,9). De acordo com as recomendações da Microsoft, um invasor não autenticado remoto pode obter a execução de código em um servidor RAS enviando uma solicitação de conexão criada.
Acredita-se que a exploração das quatro vulnerabilidades seja menos provável e isso sugere que o acionamento das vulnerabilidades ou seu aproveitamento pode ser difícil ou pelo menos não trivial.
Qual é o nível de destaque do PPP? De todos os servidores Windows que consultamos em nossos ambientes monitorados, 40% dos servidores recebem conexões pela porta 1723, que é a porta padrão para o protocolo de encapsulamento ponto a ponto.
Onde está o bug?
Análise de CVE
| Número de CVE | Efeito | Acesso necessário | Mitigação além da aplicação de patches |
|---|---|---|---|
| CVE-2022-35744 | Execução de código remota | Rede | Desativação da porta 1723 |
| CVE-2022-30133 | |||
| CVE-2022-35769 | Negação de serviço | - | |
| CVE-2022-35747 |
Protocolo de encapsulamento de soquete seguro do Windows
De acordo com o Microsoft Developer Network, o Secure Socket Tunneling Protocol (SSTP, protocolo de encapsulamento de soquete seguro) do Windows é um mecanismo para encapsular o tráfego PPP em HTTPS. Esse protocolo permite basicamente que os usuários acessem uma rede privada usando HTTPS.
Foram corrigidas seis vulnerabilidades de execução remota de código com uma pontuação CVSS de 8,1. Outros dois bugs de execução remota de código, também com pontuações de 8,1, foram corrigidos, supomos que eles seriam relacionados ao serviço SstpSvc. Uma vulnerabilidade de negação de serviço com uma pontuação de 5,3 foi corrigida.
Onde está o bug? O serviço do Windows que fornece suporte para o SSTP é o SstpSvc que, por fim, executa o sstpsvc.dll.
Recomendações gerais
Exceto para CVE-2022-34701, todas as vulnerabilidades envolvem uma condição de corrida. Como os ataques que envolvem condições de corrida geralmente exigem várias tentativas em um curto período, é possível que o tráfego de rede aumente, portanto, o monitoramento das taxas de pico e picos de tráfego pode revelar tentativas de ataque.
Análise de CVE
| Número de CVE | Efeito | Acesso necessário | Mitigação além da aplicação de patches |
|---|---|---|---|
| CVE-2022-35766 | Um invasor não autenticado poderia realizar uma execução de código remota em uma máquina de servidor RAS | Rede | |
| CVE-2022-34702 | |||
| CVE-2022-35745 | |||
| CVE-2022-35767 | |||
| CVE-2022-34714 | |||
| CVE-2022-35794 | |||
| CVE-2022-35769 | Um invasor não autenticado poderia realizar uma execução de código remota provavelmente por meio do serviço SstpSvc | - | |
| CVE-2022-35747 | |||
| CVE-2022-34701 | Negação de serviço |
Network File System
O Network File System (NFS) é um protocolo de rede originalmente desenvolvido pela Sun Microsystems para permitir acesso remoto a arquivos pela rede. Há uma implementação no Microsoft Windows e a função NFS pode ser adicionada a um servidor para transformá-lo em um servidor NFS.
Análise do escopo
O recurso NFS precisa ser adicionado a um servidor e cliente Windows antes de poder ser usado. Ele está incluído na função de servidor "Serviços de arquivo e armazenamento" no Windows Server.
O NFS normalmente usa as portas 111 (porta EpMapper do RPC da Sun, versões anteriores do NFS são implementadas por meio do RPC da Sun) e 2049. Ao analisar vários data centers, descobrimos que apenas 0,1% podem ser servidores NFSv4, e somente cerca da metade está executando o Windows.
Também acreditamos que a CVE deste mês foi introduzida por uma das mais recentes atualizações de segurança, uma vez que a mitigação da Microsoft (desativação do NFS v4.1) avisa que deve ser feita apenas em servidores totalmente corrigidos, isto é, os servidores que não tiverem sido corrigidos totalmente talvez estejam seguros.
Recomendações gerais
Geralmente recomendamos que você verifique se é possível fazer atualizar o servidor NFS para a versão NFS v4.1, pois é ela é a mais segura. A maioria das vulnerabilidades que envolvem o NFS neste PT destinam-se a versões anteriores do protocolo. Desta vez, no entanto, a vulnerabilidade afeta apenas o NFS v4, por isso não podemos recomendar uma atualização.
Em vez disso, recomendamos aplicar a segmentação em torno dos servidores NFS. Você deve verificar se é possível delimitar (confinar) os clientes NFS a um grupo menor de servidores/estações de trabalho e também reduzir o tráfego de saída do servidor NFS. Por se tratar de um servidor, alguns motivos podem levá-lo a iniciar conexões. A segmentação pode limitar o impacto que uma exploração bem-sucedida proporciona.
Análise de CVE
Número de CVE |
Efeito |
Acesso necessário |
Mitigação além da aplicação de patches |
O invasor pode conseguir a execução remota de código usando chamadas não autenticadas para NFS v4 |
Rede |
— Desativação do NFSv4 — Reversão das atualizações de segurança (mantendo o NFSv4 da maneira como era a maioria dos CVEs anteriores para as versões anteriores) |
Serviços de Certificados do Active Directory
Os Active Directory Domain Services (AD DS, serviços de domínio do Active Directory) estão entre os principais componentes do Active Directory. Os servidores que executam essa função são os controladores de domínio do Domínio do Windows.
Análise do escopo
Há pelo menos um Windows Server executando o AD DS em cada rede do Domínio do Windows: o controlador de domínio.
A vulnerabilidade deste mês está realmente no recurso Serviços de Certificados do Active Directory (AD CS), que não está disponível por padrão, ele requer a instalação de uma função adicional. Em nossos Servidores Windows monitorados em ambientes de clientes, podemos ver que 66% de nossas redes monitoradas têm um servidor com a função AD CS.
O AD CS é conhecido por ser alvo de invasores, sendo o PetitPotam o exemplo recente mais notório, tendo sido usado como alvo para retransmissão NTLM (baseado em uma excelente pesquisa realizada pelo SpecterOps).
Recomendações gerais
Como o serviço AD CS deve ser instalado apenas em um número selecionado de servidores na rede, ou até mesmo em um único servidor, que tenham um papel essencial na arquitetura de domínio, recomendamos que você corrija esses servidores o mais rápido possível.
Se não for possível, o patch de maio introduziu logs de eventos adicionais do Windows (seguindo CVEs semelhantes) que você deve monitorar em caso de atividades irregulares. Consulte KB5014754 para obter mais informações.
Análise de CVE
Número de CVE |
Efeito |
Acesso necessário |
Mitigação além da aplicação de patches |
O invasor pode obter privilégios de SISTEMA modificando determinados atributos de usuário seguidos por uma solicitação ao AD CS |
Rede |
Desativação do AD CS |
Microsoft Exchange Server
O Microsoft Exchange Server é o servidor de e-mail desenvolvido pela Microsoft. Este mês, houve seis CVEs, três vulnerabilidades críticas de elevação de privilégio e três vulnerabilidades importantes de divulgação de informações corrigidas. Essas vulnerabilidades afetam as instalações locais do Exchange e não as instâncias do Office 365.
Análise do escopo
Com a introdução do Office 365, cada vez mais organizações estão abandonando a instalação no local em favor das soluções SaaS. Em nossas redes monitoradas, apenas 40% têm um servidor Exchange no local.
Recomendações gerais
As vulnerabilidades de Divulgação de informações deixam claro que permitem aos invasores a leitura de e-mails direcionados, mas a Microsoft não declara explicitamente o efeito das vulnerabilidades de elevação de privilégio. Acreditamos que elas podem permitir que invasores enviem e-mails em nome de outros usuários. Como eles também são categorizados como “Exploração mais provável”, recomendamos que corrigir e habilitar seus servidores Exchange Proteção estendida. Para obter mais informações, consulte o Blog do Exchange da Microsoft.
Além disso, algumas dessas vulnerabilidades exigem que o servidor Exchange acesse um servidor mal-intencionado no controle do invasor. Se você puder mapear os vizinhos necessários do servidor do Exchange local (servidores de e-mail externos, bancos de dados etc.) e criar regras de proteção para eles, isso também pode ser uma mitigação eficaz.
Análise de CVE
Número de CVE |
Efeito |
Acesso necessário |
Mitigação além da aplicação de patches |
Um ataque bem-sucedido pode permitir que um invasor leia e envie e-mails |
Rede |
Restrição das conexões de saída dos servidores do Exchange |
|
Rede, acesso a servidor mal-intencionado |
|||
Um invasor autenticado pode ler e enviar e-mails |
Rede, autenticação |
||
Leitura de e-mails direcionados |
Rede |
||
Rede, acesso a servidor mal-intencionado |
Este resumo fornece uma visão geral de nossa compreensão atual e recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações.
