A Microsoft lançou atualizações de segurança para corrigir um complete de 118 vulnerabilidades em seu portfólio de software program, duas das quais estão sob exploração ativa.
Das 118 falhas, três são classificadas como Críticas, 113 são classificadas como Importantes e duas são classificadas como Moderadas em gravidade. A atualização do Patch Tuesday não inclui as 25 falhas adicionais que a gigante da tecnologia abordou em seu navegador Edge baseado em Chromium no mês passado.
Cinco das vulnerabilidades estão listadas como conhecidas publicamente no momento do lançamento, com duas delas sob exploração ativa como dia zero –
- CVE-2024-43572 (Pontuação CVSS: 7,8) – Vulnerabilidade de execução remota de código do Microsoft Administration Console (exploração detectada)
- CVE-2024-43573 (Pontuação CVSS: 6,5) – Vulnerabilidade de falsificação da plataforma MSHTML do Home windows (exploração detectada)
- CVE-2024-43583 (Pontuação CVSS: 7,8) – Vulnerabilidade de elevação de privilégio do Winlogon
- CVE-2024-20659 (Pontuação CVSS: 7.1) – Vulnerabilidade de desvio de recurso de segurança do Home windows Hyper-V
- CVE-2024-6197 (Pontuação CVSS: 8,8) – Vulnerabilidade de execução remota de código Curl de código aberto (CVE não Microsoft)
É importante notar que CVE-2024-43573 é semelhante a CVE-2024-38112 e CVE-2024-43461, duas outras falhas de falsificação de MSHTML que foram exploradas antes de julho de 2024 pelo ator de ameaça Void Banshee para entregar o malware Atlantida Stealer.
A Microsoft não menciona como as duas vulnerabilidades são exploradas em estado selvagem, e por quem, ou quão difundidas elas são. Ele deu crédito aos pesquisadores Andres e Shady por relatarem CVE-2024-43572, mas nenhum reconhecimento foi dado para CVE-2024-43573, levantando a possibilidade de que poderia ser um caso de desvio de patch.
“Desde a descoberta do CVE-2024-43572, a Microsoft agora impede que arquivos MSC não confiáveis sejam abertos em um sistema”, disse Satnam Narang, engenheiro sênior de pesquisa da Tenable, em comunicado compartilhado com o The Hacker Information.
A exploração ativa de CVE-2024-43572 e CVE-2024-43573 também foi observada pela Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), que os adicionou ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que as agências federais apliquem o correções até 29 de outubro de 2024.
Entre todas as falhas divulgadas por Redmond na terça-feira, a mais grave diz respeito a uma falha de execução remota no Microsoft Configuration Supervisor (CVE-2024-43468, pontuação CVSS: 9,8) que poderia permitir que atores não autenticados executassem comandos arbitrários.
“Um invasor não autenticado poderia explorar esta vulnerabilidade enviando solicitações especialmente criadas para o ambiente alvo, que são processadas de maneira insegura, permitindo ao invasor executar comandos no servidor e/ou banco de dados subjacente”, afirmou.
Duas outras falhas de gravidade com classificação crítica também estão relacionadas à execução remota de código na extensão Visible Studio Code para Arduino (CVE-2024-43488, pontuação CVSS: 8,8) e servidor Distant Desktop Protocol (RDP) (CVE-2024-43582, pontuação CVSS: 8.1).
“A exploração exige que um invasor envie pacotes deliberadamente malformados para um host RPC do Home windows e leva à execução de código no contexto do serviço RPC, embora o que isso signifique na prática possa depender de fatores, incluindo a configuração da restrição de interface RPC no ativo alvo, ” Adam Barnett, engenheiro-chefe de software program da Rapid7, falou sobre CVE-2024-43582.
“Uma fresta de esperança: a complexidade do ataque é alta, já que o invasor deve vencer uma condição de corrida para acessar a memória de forma inadequada.”
Patches de software program de outros fornecedores
Fora da Microsoft, atualizações de segurança também foram lançadas por outros fornecedores nas últimas semanas para corrigir várias vulnerabilidades, incluindo –