A Microsoft lançou atualizações de segurança para o mês de abril de 2024 para corrigir um recorde de 149 falhas, duas das quais foram exploradas ativamente.
Das 149 falhas, três são classificadas como Críticas, 142 são classificadas como Importantes, três são classificadas como Moderadas e uma é classificada como Baixa em gravidade. A atualização está além de 21 vulnerabilidades que a empresa abordou em seu navegador Edge baseado em Chromium após o lançamento das correções do Patch Tuesday de março de 2024.
As duas deficiências que foram exploradas ativamente estão abaixo –
- CVE-2024-26234 (Pontuação CVSS: 6,7) – Vulnerabilidade de falsificação de driver de proxy
- CVE-2024-29988 (Pontuação CVSS: 8,8) – Vulnerabilidade de desvio do recurso de segurança do immediate do SmartScreen
Embora o próprio comunicado da Microsoft não forneça informações sobre CVE-2024-26234, a empresa de segurança cibernética Sophos disse que descobriu em dezembro de 2023 um executável malicioso (“Catalog.exe” ou “Catalog Authentication Consumer Service”) assinado por um Microsoft Home windows {Hardware} Compatibility Writer válido (WHCP) certificado.
A análise Authenticode do binário revelou o editor solicitante unique da Hainan YouHu Know-how Co. Ltd, que também é editora de outra ferramenta chamada LaiXi Android Display Mirroring.
Este último é descrito como “um software program de advertising… (que) pode conectar centenas de telefones celulares e controlá-los em lotes, e automatizar tarefas como seguir, curtir e comentar em lote”.
Presente no suposto serviço de autenticação está um componente chamado 3proxy, projetado para monitorar e interceptar o tráfego de rede em um sistema infectado, agindo efetivamente como um backdoor.
“Não temos evidências que sugiram que os desenvolvedores do LaiXi incorporaram deliberadamente o arquivo malicioso em seu produto, ou que um agente de ameaça conduziu um ataque à cadeia de suprimentos para inseri-lo no processo de compilação/construção do aplicativo LaiXi”, disse o pesquisador da Sophos, Andreas Klopsch. .
A empresa de segurança cibernética também disse que descobriu várias outras variantes do backdoor em circulação desde 5 de janeiro de 2023, indicando que a campanha está em andamento pelo menos desde então. Desde então, a Microsoft adicionou os arquivos relevantes à sua lista de revogação.
A outra falha de segurança que supostamente sofreu ataque ativo é a CVE-2024-29988, que – como CVE-2024-21412 e CVE-2023-36025 – permite que invasores contornem as proteções do Microsoft Defender Smartscreen ao abrir um arquivo especialmente criado.
“Para explorar essa vulnerabilidade de desvio de recurso de segurança, um invasor precisaria convencer um usuário a lançar arquivos maliciosos usando um aplicativo inicializador que solicita que nenhuma interface do usuário seja mostrada”, disse a Microsoft.
“Em um cenário de ataque por e-mail ou mensagem instantânea, o invasor pode enviar ao usuário alvo um arquivo especialmente criado, projetado para explorar a vulnerabilidade de execução remota de código”.
A Zero Day Initiative revelou que há evidências de que a falha está sendo explorada em estado selvagem, embora a Microsoft a tenha marcado com uma avaliação de “Exploração mais provável”.
Outra vulnerabilidade importante é a CVE-2024-29990 (pontuação CVSS: 9,0), uma falha de elevação de privilégio que afeta o contêiner confidencial do serviço Microsoft Azure Kubernetes que pode ser explorado por invasores não autenticados para roubar credenciais.
“Um invasor pode acessar o nó AKS Kubernetes não confiável e o AKS Confidential Container para assumir o controle de convidados e contêineres confidenciais além da pilha de rede aos quais pode estar vinculado”, disse Redmond.
Ao todo, o lançamento é notável por abordar até 68 execuções remotas de código, 31 escalonamento de privilégios, 26 desvios de recursos de segurança e seis bugs de negação de serviço (DoS). Curiosamente, 24 das 26 falhas de desvio de segurança estão relacionadas ao Safe Boot.
“Embora nenhuma dessas vulnerabilidades do Safe Boot abordadas neste mês tenha sido explorada, elas servem como um lembrete de que as falhas no Safe Boot persistem e poderemos ver mais atividades maliciosas relacionadas ao Safe Boot no futuro”, Satnam Narang, equipe sênior engenheiro de pesquisa da Tenable, disse em um comunicado.
A divulgação ocorre no momento em que a Microsoft enfrenta críticas por suas práticas de segurança, com um relatório recente do Conselho de Revisão de Segurança Cibernética dos EUA (CSRB) chamando a empresa por não fazer o suficiente para evitar uma campanha de espionagem cibernética orquestrada por um ator de ameaça chinês rastreado como Storm. -0558 no ano passado.
Também segue a decisão da empresa de publicar dados de causa raiz para falhas de segurança usando o padrão da indústria Widespread Weak point Enumeration (CWE). Porém, é importante ressaltar que as alterações só entrarão em vigor a partir dos comunicados publicados desde março de 2024.
“A adição de avaliações CWE aos avisos de segurança da Microsoft ajuda a identificar a causa raiz genérica de uma vulnerabilidade”, disse Adam Barnett, engenheiro-chefe de software program da Rapid7, em comunicado compartilhado com o The Hacker Information.
“O programa CWE atualizou recentemente sua orientação sobre o mapeamento de CVEs para uma causa raiz de CWE. A análise das tendências de CWE pode ajudar os desenvolvedores a reduzir ocorrências futuras por meio de fluxos de trabalho e testes aprimorados do ciclo de vida de desenvolvimento de software program (SDLC), além de ajudar os defensores a entender para onde direcionar esforços de defesa em profundidade e de fortalecimento da implantação para melhor retorno do investimento.”
Num desenvolvimento relacionado, a empresa de segurança cibernética Varonis detalhou dois métodos que os atacantes poderiam adotar para contornar os registos de auditoria e evitar o desencadeamento de eventos de obtain enquanto exfiltram ficheiros do SharePoint.
A primeira abordagem aproveita o recurso “Abrir no aplicativo” do SharePoint para acessar e baixar arquivos, enquanto a segunda usa o Consumer-Agent para Microsoft SkyDriveSync para baixar arquivos ou até mesmo websites inteiros enquanto categoriza incorretamente eventos como sincronizações de arquivos em vez de downloads.
A Microsoft, que tomou conhecimento dos problemas em novembro de 2023, ainda não lançou uma correção, embora ela tenha sido adicionada ao seu programa de patch backlog. Entretanto, recomenda-se que as organizações monitorizem de perto os seus registos de auditoria em busca de eventos de acesso suspeitos, especificamente aqueles que envolvem grandes volumes de downloads de ficheiros num curto período.
“Essas técnicas podem contornar as políticas de detecção e aplicação de ferramentas tradicionais, como corretores de segurança de acesso à nuvem, prevenção de perda de dados e SIEMs, ocultando downloads como acesso menos suspeito e eventos de sincronização”, disse Eric Saraga.
Patches de software program de outros fornecedores
Além da Microsoft, atualizações de segurança também foram lançadas por outros fornecedores nas últimas semanas para corrigir diversas vulnerabilidades, incluindo –
