A Microsoft lançou patches para corrigir um whole de 143 falhas de segurança como parte de suas atualizações mensais de segurança, duas das quais foram ativamente exploradas.
Cinco das 143 falhas são classificadas como Críticas, 136 são classificadas como Importantes e quatro são classificadas como Moderadas em gravidade. As correções são adicionais a 33 vulnerabilidades que foram abordadas no navegador Edge baseado em Chromium no mês passado.
As duas deficiências de segurança que foram exploradas estão abaixo –
- CVE-2024-38080 (pontuação CVSS: 7,8) – Vulnerabilidade de elevação de privilégio do Home windows Hyper-V
- CVE-2024-38112 (pontuação CVSS: 7,5) – Vulnerabilidade de falsificação da plataforma MSHTML do Home windows
“A exploração bem-sucedida dessa vulnerabilidade exige que o invasor tome ações adicionais antes da exploração para preparar o ambiente de destino”, disse a Microsoft sobre o CVE-2024-38112. “Um invasor teria que enviar à vítima um arquivo malicioso que a vítima teria que executar.”
O pesquisador de segurança da Verify Level Haifei Li, que foi creditado por descobrir e relatar a falha em maio de 2024, disse que os agentes de ameaças estão aproveitando arquivos de atalho da Web do Home windows (.URL) especialmente criados que, ao serem clicados, redirecionam as vítimas para uma URL maliciosa, invocando o navegador Web Explorer (IE) descontinuado.
“Um truque adicional no IE é usado para esconder o nome da extensão maliciosa .HTA”, Li explicou. “Ao abrir a URL com o IE em vez do navegador moderno e muito mais seguro Chrome/Edge no Home windows, o invasor obteve vantagens significativas na exploração do computador da vítima, embora o computador esteja executando o moderno sistema operacional Home windows 10/11.”
“CVE-2024-38080 é uma falha de elevação de privilégio no Home windows Hyper-V”, disse Satnam Narang, engenheiro sênior de pesquisa da equipe da Tenable. “Um invasor native e autenticado pode explorar essa vulnerabilidade para elevar privilégios para o nível SYSTEM após um comprometimento inicial de um sistema alvo.”
Embora os detalhes exatos em torno do abuso do CVE-2024-38080 sejam atualmente desconhecidos, Narang observou que esta é a primeira das 44 falhas do Hyper-V a ser explorada na prática desde 2022.
Duas outras falhas de segurança corrigidas pela Microsoft foram listadas como publicamente conhecidas no momento do lançamento. Isso inclui um ataque de canal lateral chamado FetchBench (CVE-2024-37985, pontuação CVSS: 5,9) que pode permitir que um adversário visualize a memória heap de um processo privilegiado em execução em sistemas baseados em Arm.
A segunda vulnerabilidade divulgada publicamente em questão é a CVE-2024-35264 (pontuação CVSS: 8,1), um bug de execução remota de código que afeta o .NET e o Visible Studio.
“Um invasor pode explorar isso fechando um fluxo http/3 enquanto o corpo da solicitação está sendo processado, levando a uma condição de corrida”, disse Redmond em um aviso. “Isso pode resultar em execução remota de código.”
Também foram resolvidas como parte das atualizações do Patch Tuesday 37 falhas de execução remota de código que afetam o SQL Server Native Shopper OLE DB Supplier, 20 vulnerabilidades de bypass do recurso de segurança Safe Boot, três bugs de escalonamento de privilégios do PowerShell e uma vulnerabilidade de falsificação no protocolo RADIUS (CVE-2024-3596, também conhecido como BlastRADIUS).
“(As falhas do SQL Server) afetam especificamente o provedor OLE DB, então não apenas as instâncias do SQL Server precisam ser atualizadas, mas o código do cliente que executa versões vulneráveis do driver de conexão também precisará ser corrigido”, disse o gerente de produtos líder da Rapid7, Greg Wiseman.
“Por exemplo, um invasor pode usar táticas de engenharia social para enganar um usuário autenticado e fazê-lo tentar se conectar a um banco de dados do SQL Server configurado para retornar dados maliciosos, permitindo a execução de código arbitrário no cliente.”
Completando a longa lista de patches está o CVE-2024-38021 (pontuação CVSS: 8,8), uma falha de execução remota de código no Microsoft Workplace que, se explorada com sucesso, pode permitir que um invasor obtenha altos privilégios, incluindo funcionalidades de leitura, gravação e exclusão.
A Morphisec, que relatou a falha à Microsoft no ultimate de abril de 2024, disse que a vulnerabilidade não requer nenhuma autenticação e representa um risco grave devido à sua natureza de clique zero.
“Os invasores podem explorar essa vulnerabilidade para obter acesso não autorizado, executar código arbitrário e causar danos substanciais sem nenhuma interação do usuário”, disse Michael Gorelik. “A ausência de requisitos de autenticação a torna particularmente perigosa, pois abre a porta para exploração generalizada.”
As correções surgiram depois que a Microsoft anunciou no ultimate do mês passado que começaria a emitir identificadores CVE para vulnerabilidades de segurança relacionadas à nuvem, em uma tentativa de melhorar a transparência.
Patches de software program de outros fornecedores
Além da Microsoft, atualizações de segurança também foram lançadas por outros fornecedores nas últimas semanas para corrigir diversas vulnerabilidades, incluindo —
