A Microsoft lançou atualizações de segurança para corrigir 118 vulnerabilidades em seu portfólio de software, duas das quais foram amplamente exploradas.
Dos 118 erros, três foram classificados como críticos, 113 foram classificados como críticos e dois foram classificados como de gravidade moderada. A atualização do Patch Tuesday não cobre outros 25 bugs que a gigante da tecnologia corrigiu em seu navegador Edge baseado em Chromium no mês passado.
Cinco das vulnerabilidades estão listadas como conhecidas publicamente no momento do lançamento, e duas delas estão sob uma exploração ativa de dia zero –
- CVE-2024-43572 (Pontuação CVSS: 7,8) – Vulnerabilidade de execução remota de código do Microsoft Management Console (exploração descoberta)
- CVE-2024-43573 (Pontuação CVSS: 6,5) – Vulnerabilidade de falsificação da plataforma MSHTML do Windows (exploração descoberta)
- CVE-2024-43583 (Pontuação CVSS: 7,8) – Vulnerabilidade de elevação de privilégio no Winlogon
- CVE-2024-20659 (Pontuação CVSS: 7.1) – Vulnerabilidade do recurso de segurança do Windows Hyper-V Bypass
- CVE-2024-6197 (Pontuação CVSS: 8,8) – Vulnerabilidade de código remoto Curl de código aberto (CVE não Microsoft)
É importante notar que CVE-2024-43573 é semelhante a CVE-2024-38112 e CVE-2024-43461, duas outras falhas de falsificação de MSHTML usadas antes de julho de 2024 pelo ator de ameaça Void Banshee para entregar o malware Atlantida Stealer.
A Microsoft não diz como essas duas vulnerabilidades estão sendo exploradas, e por quem, ou quão difundidas elas são. Agradecemos aos pesquisadores Andres e Shady por reportarem o CVE-2024-43572, mas nenhum reconhecimento foi dado para o CVE-2024-43573, sugerindo que pode ser um caso de contornar o patch.
“Desde a descoberta do CVE-2024-43572, a Microsoft bloqueou a abertura de arquivos MSC não confiáveis no sistema”, disse Satnam Narang, engenheiro sênior de pesquisa da Tenable, em comunicado compartilhado com o The Hacker News.
Explorações ativas de CVE-2024-43572 e CVE-2024-43573 também foram observadas pela Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), que as adicionou ao seu catálogo conhecido como Know Exploited Vulnerabilities (KEV), que exige que agências governamentais usem este programa. atualizado em 29 de outubro de 2024.
Entre todas as falhas divulgadas por Redmond na terça-feira, a mais preocupante é uma falha de execução remota no Microsoft Configuration Manager (CVE-2024-43468, pontuação CVSS: 9,8) que pode permitir que atores não autorizados assumam comandos arbitrários.
“Um invasor não autenticado poderia explorar esta vulnerabilidade enviando solicitações especialmente criadas para o ambiente de destino que são processadas de maneira insegura que permite ao invasor executar comandos no servidor e/ou no banco de dados subjacente”, afirmou.
Duas outras vulnerabilidades de gravidade crítica também estão relacionadas à execução remota de código na extensão Visual Studio Code para Arduino (CVE-2024-43488, pontuação CVSS: 8,8) e servidor Remote Desktop Protocol (RDP) (CVE-2024-43582, pontuação CVSS: 8,1 ).
“A exploração exige que um invasor envie deliberadamente pacotes malformados para um host RPC do Windows e leva à execução de código no contexto do serviço RPC, embora o que isso signifique na prática possa depender de fatores, incluindo a configuração de restrição de interface RPC no host alvo”, Adam Barnett, engenheiro desenvolvedor de software da Rapid7, relatou CVE-2024-43582.
“Uma fresta de esperança: a complexidade do ataque é alta, pois o invasor precisa vencer a condição de corrida para acessar a memória arbitrariamente.”
Patches de software de outros fornecedores
Além da Microsoft, atualizações de segurança também foram lançadas por outros fornecedores nas últimas semanas para corrigir diversas vulnerabilidades, incluindo –
