A Microsoft lançou patches para resolver 73 falhas de segurança em sua risca de software uma vez que segmento de suas atualizações de Patch Tuesday para fevereiro de 2024, incluindo dois dias zero que estão sob exploração ativa.
Das 73 vulnerabilidades, 5 são classificadas uma vez que Críticas, 65 são classificadas uma vez que Importantes e três são classificadas uma vez que Moderadas em seriedade. Isso se soma às 24 falhas que foram corrigidas no navegador Edge fundamentado em Chromium desde o lançamento das atualizações do Patch Tuesday de 24 de janeiro.
As duas falhas listadas uma vez que sob ataque ativo no momento do lançamento estão inferior:
- CVE-2024-21351 (pontuação CVSS: 7,6) – Vulnerabilidade de meandro do recurso de segurança do Windows SmartScreen
- CVE-2024-21412 (Pontuação CVSS: 8.1) – Vulnerabilidade de meandro de recurso de segurança de arquivos de tramite da Internet
“A vulnerabilidade permite que um ator malicioso injete código no SmartScreen e potencialmente obtenha realização de código, o que pode levar a alguma exposição de dados, falta de disponibilidade do sistema ou ambos”, disse a Microsoft sobre CVE-2024-21351.
A exploração bem-sucedida da nequice pode permitir que um invasor contorne as proteções do SmartScreen e execute código facultativo. No entanto, para que o ataque funcione, o responsável da prenúncio deve enviar ao usuário um registo malicioso e convencê-lo a abri-lo.
CVE-2024-21412, de maneira semelhante, permite que um invasor não autenticado ignore as verificações de segurança exibidas, enviando um registo mormente criado para um usuário visado.
“No entanto, o invasor não teria uma vez que forçar um usuário a visualizar o teor controlado pelo invasor”. Redmond observou. “Em vez disso, o invasor teria que convencê-los a agir clicando no link do registo”.
CVE-2024-21351 é o segundo bug de meandro a ser revelado no SmartScreen depois do CVE-2023-36025 (pontuação CVSS: 8,8), que foi revisto pela gigante da tecnologia em novembro de 2023. A nequice já foi explorada por vários grupos de hackers para proliferam DarkGate, Phemedrone Stealer e Mispadu.
A Trend Micro, que detalhou uma campanha de ataque realizada pela Water Hydra (também conhecida uma vez que DarkCasino) visando comerciantes do mercado financeiro por meio de uma sofisticada enxovia de ataque de dia zero aproveitando o CVE-2024-21412, descreveu o CVE-2024-21412 uma vez que um meandro para o CVE-2023 -36025, permitindo mal os agentes de ameaças evitem as verificações do SmartScreen.
Water Hydra, detectado pela primeira vez em 2021, tem um histórico de lançamento de ataques contra bancos, plataformas de criptomoeda, serviços de negociação, sites de jogos de má sorte e cassinos para entregar um trojan chamado DarkMe usando explorações de dia zero, incluindo a nequice WinRAR que veio à tona em Agosto de 2023 (CVE-2023-38831, pontuação CVSS: 7,8).
No final do ano pretérito, a empresa chinesa de segurança cibernética NSFOCUS classificou o grupo de hackers “com motivação econômica” em uma prenúncio persistente avançada (APT) inteiramente novidade.
“Em janeiro de 2024, Water Hydra atualizou sua enxovia de infecção explorando CVE-2024-21412 para executar um registo malicioso do Microsoft Installer (.MSI), agilizando o processo de infecção DarkMe”, disse a Trend Micro.
Desde logo, ambas as vulnerabilidades foram adicionadas ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) pela Sucursal de Segurança Cibernética e de Infraestrutura dos EUA (CISA), instando as agências federais a infligir as atualizações mais recentes até 5 de março de 2024.
Também corrigidas pela Microsoft estão cinco falhas críticas –
- CVE-2024-20684 (pontuação CVSS: 6,5) – Vulnerabilidade de negação de serviço do Windows Hyper-V
- CVE-2024-21357 (Pontuação CVSS: 7,5) – Vulnerabilidade de realização remota de código do Windows Pragmatic General Multicast (PGM)
- CVE-2024-21380 (Pontuação CVSS: 8,0) – Vulnerabilidade de divulgação de informações do Microsoft Dynamics Business Médio/NAV
- CVE-2024-21410 (Pontuação CVSS: 9,8) – Vulnerabilidade de elevação de privilégio do Microsoft Exchange Server
- CVE-2024-21413 (pontuação CVSS: 9,8) – Vulnerabilidade de realização remota de código no Microsoft Outlook
“CVE-2024-21410 é uma vulnerabilidade de elevação de privilégio no Microsoft Exchange Server”, disse Satnam Narang, engenheiro sênior de pesquisa da Tenable, em um expedido. “Essa nequice tem maior verosimilhança de ser explorada por invasores, de entendimento com a Microsoft.”
“Explorar esta vulnerabilidade pode resultar na divulgação do hash Net-New Technology LAN Manager (NTLM) versão 2 de um usuário escopo, que pode ser retransmitido de volta para um Exchange Server vulnerável em uma retransmissão NTLM ou ataque de passagem de hash, o que seria permitir que o invasor se autentique uma vez que o usuário escopo.”
A atualização de segurança resolve ainda 15 falhas de realização remota de código no provedor Microsoft WDAC OLE DB para SQL Server que um invasor poderia explorar enganando um usuário autenticado para que tentasse se conectar a um servidor SQL malicioso via OLEDB.
Completando o patch está uma correção para CVE-2023-50387 (pontuação CVSS: 7,5), uma nequice de design de 24 anos na especificação DNSSEC que pode ser abusada para esgotar os recursos da CPU e paralisar os resolvedores de DNS, resultando em uma negação- de serviço (DoS).
A vulnerabilidade recebeu o codinome KeyTrap pelo Meio Pátrio de Pesquisa para Segurança Cibernética Aplicada (ATHENE) em Darmstadt.
“(Os pesquisadores) demonstraram que unicamente com um único pacote DNS o ataque pode esgotar a CPU e paralisar todas as implementações de DNS amplamente utilizadas e provedores de DNS público, uma vez que Google Public DNS e Cloudflare”, disse ATHENE. “Na verdade, a popular implementação do DNS do BIND 9 pode permanecer paralisada por até 16 horas.”
Patches de software de outros fornecedores
Além da Microsoft, atualizações de segurança também foram lançadas por outros fornecedores nas últimas semanas para emendar diversas vulnerabilidades, incluindo –
