Um total de 132 novas falhas de segurança nos produtos da Microsoft foram corrigidas, incluindo seis problemas “zero-day” que a empresa afirmou estar sendo ativamente explorados por criminosos.
Nove das 130 vulnerabilidades têm uma classificação de gravidade “Crítica”, enquanto 121 têm uma classificação de “Importante”.
Além disso, somando-se aos oito bugs que a Microsoft corrigiu em seu navegador Edge, baseado no Chromium, no final do mês anterior, foram corrigidas 37 falhas de execução remota de código (RCE) pela Microsoft.
No entanto, uma dessas questões de RCE permanece sem correção e várias empresas de cibersegurança têm observado ataques ativos que a exploram.
Seis Vulnerabilidades Ativamente Exploradas
Seis vulnerabilidades zero-day, todas exploradas em ataques, sendo que uma delas foi tornada pública, foram corrigidas no Patch Tuesday deste mês.
Vale ressaltar que, quando uma vulnerabilidade é relatada publicamente ou está sendo ativamente explorada sem uma solução oficial disponível, a Microsoft a classifica como vulnerabilidade zero-day.
CVE 2023-32046 – Vulnerabilidade de Elevação de Privilégio na Plataforma MSHTML do Windows
O Centro de Inteligência de Ameaças da Microsoft descobriu uma vulnerabilidade ativamente utilizada no Windows MSHTML, que permitia a escalada de privilégios.
Essa vulnerabilidade era acessada ao visualizar um arquivo especialmente criado por meio de e-mails de spam ou sites maliciosos.
Um atacante poderia se aproveitar dessa falha em um ataque por e-mail, enviando ao alvo um arquivo especialmente projetado e persuadindo-o a abri-lo.
Em um cenário de ataque baseado na web, um atacante poderia executar um site (ou aproveitar um site que foi hackeado e aceita ou hospeda conteúdo fornecido pelo usuário) que contenha um arquivo especialmente criado com a intenção de explorar a vulnerabilidade.
“Ao fazer isso, o atacante adquiriria os direitos do usuário que está executando a aplicação afetada”, afirma o comunicado da Microsoft.
CVE-2023-32049 – Vulnerabilidade de Bypass de Segurança do Windows SmartScreen
Atacantes exploraram essa falha para impedir que o popup de Aviso de Segurança – Abrir Arquivo aparecesse ao baixar e acessar arquivos da Internet.
“A pessoa mal-intencionada seria capaz de contornar o prompt de Aviso de Segurança – Abrir Arquivo”, disse a Microsoft.
A Microsoft afirma que o Centro de Inteligência de Ameaças da Microsoft identificou internamente o problema.
CVE-2023-36874 – Vulnerabilidade de Elevação de Privilégio no Serviço de Relatório de Erros do Windows
Neste caso, atores maliciosos conseguiram obter direitos de administrador no dispositivo Windows ao explorar ativamente um bug de elevação de privilégios. O bug foi descoberto por Vlad Stolyarov e Maddie Stone, do Google Threat Analysis Group (TAG).
“Um atacante precisa ter acesso local à máquina-alvo e o usuário deve ser capaz de criar pastas e rastreamentos de desempenho na máquina, com privilégios restritos que os usuários normais têm por padrão”, disse a Microsoft.
CVE-2023-36884 – Vulnerabilidade de Execução Remota de Código HTML no Office e Windows
A Microsoft está investigando relatos de várias falhas de execução remota de código que afetam os produtos Office e Windows. A Microsoft está ciente de ataques específicos que tentam explorar essas falhas usando documentos do Microsoft Office especialmente criados.
Para executar a execução remota de código no contexto da vítima, um atacante pode criar um documento do Microsoft Office especialmente manipulado. Para abrir o arquivo infectado, a vítima precisaria ser atraída a fazê-lo pelo atacante.
“Ao concluir esta investigação, a Microsoft tomará as medidas apropriadas para proteger nossos clientes. Isso pode incluir fornecer uma atualização de segurança por meio de nosso processo de lançamento mensal ou fornecer uma atualização de segurança fora do ciclo, dependendo das necessidades dos clientes”, afirma a Microsoft.
Segundo a Microsoft, os usuários que utilizam o Microsoft Defender para Office e a regra de Redução da Superfície de Ataque “Bloquear todas as aplicações do Office de criar processos secundários” estão protegidos contra anexos que tentam explorar essa vulnerabilidade.
Aqueles que não estão usando essas proteções podem adicionar os seguintes nomes de aplicativos à chave de registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION como valores do tipo REG_DWORD com dados 1.
Excel.exe
Graph.exe
MSAccess.exe
MSPub.exe
PowerPoint.exe
Visio.exe
WinProj.exe
WinWord.exe
Wordpad.exe
Este problema foi relatado pela Microsoft Threat Intelligence, Google’s Threat Analysis Group (TAG), Vlad Stolyarov, Clement Lecigne, Bahare Sabouri, Paul Rascagneres, Tom Lancaster e pela equipe de segurança do Microsoft Office Product Group.
A Microsoft está investigando alegações de várias falhas de execução remota de código que afetam produtos do Office e do Windows. A empresa está ciente de ataques específicos que tentam usar documentos do Microsoft Office especialmente criados para explorar essas falhas.
Equipe de Segurança do Grupo de Produtos relatou esse problema.
ADV230001 – Orientações sobre o Uso Malicioso de Drivers Assinados pela Microsoft
Certificados de assinatura de código e contas de desenvolvedor utilizados para instalar drivers maliciosos no modo kernel, abusando de uma vulnerabilidade de política do Windows, foram revogados pela Microsoft.
A Microsoft emitiu um aviso informando a suspensão de todas as contas de desenvolvedor relacionadas e a revogação de quaisquer certificados utilizados indevidamente.
“A Microsoft foi informada que drivers certificados pelo Programa de Desenvolvedores de Hardware do Windows estavam sendo usados de forma maliciosa em atividades pós-exploração. Nessas ações, o atacante já havia obtido privilégios administrativos em sistemas comprometidos antes do uso dos drivers”, explica a Microsoft.
CVE-2023-35311 – Vulnerabilidade de bypass de recurso de segurança no Microsoft Outlook
A Microsoft atualizou o Microsoft Outlook para corrigir uma vulnerabilidade zero-day explorada ativamente, que contorna alertas de segurança e opera no painel de visualização. A pessoa que relatou essa vulnerabilidade solicitou anonimato.
“A pessoa atacante seria capaz de ignorar o aviso de segurança do Microsoft Outlook”, explica a Microsoft.
Lista do Número de Bugs em Cada Tipo de Vulnerabilidade
- 33 Vulnerabilidades de Elevação de Privilégio
- 13 Vulnerabilidades de Contorno de Recursos de Segurança
- 37 Vulnerabilidades de Execução Remota de Código
- 19 Vulnerabilidades de Divulgação de Informações
- 22 Vulnerabilidades de Negação de Serviço
- 7 Vulnerabilidades de Falsificação (Spoofing)
Nas últimas semanas, várias outras empresas além da Microsoft também disponibilizaram atualizações de segurança para corrigir várias vulnerabilidades, incluindo Adobe, Apple, Aruba Networks, Cisco, Citrix, Dell, Drupal, F5, Fortinet, GitLab, Google Chrome, Lenovo e muitas outras.
SITUAÇÃO: PARCIALMENTE CORRIGIDO 🟡
Fique sempre informado sobre as últimas notícias de segurança cibernética e atualizações importantes, subscrevendo na nossa newsletter agora mesmo! Não perca nenhuma informação crucial para proteger seus dispositivos e dados. Junte-se a nós e esteja um passo à frente das ameaças online. Subscreva hoje mesmo!
Obtenha mais coisas como esta
Inscreva-se em nossa newsletter e receba conteúdos interessantes e atualizações em sua caixa de entrada de e-mail.
Obrigado por se inscrever.
Algo correu mal.
