Em seu lançamento Patch Tuesday de agosto de 2024, a Microsoft corrigiu 89 vulnerabilidades de segurança. Entre elas, um recorde de nove são explorações de dia zero, com seis já sendo ativamente usadas por invasores e três divulgadas publicamente. Uma correção para um décimo dia zero ainda está em desenvolvimento.
Análise de vulnerabilidades
A atualização aborda vários problemas de segurança, incluindo oito classificados como críticos. Eles abrangem uma gama de problemas, como escalonamento de privilégios, execução remota de código, vazamento de informações e negação de serviço.
Especificamente, as correções abrangem 36 falhas de elevação de privilégio, quatro desvios de recursos de segurança, 28 problemas de execução remota de código, oito bugs de divulgação de informações, seis falhas de negação de serviço e sete problemas de spoofing. Notavelmente, as vulnerabilidades no Microsoft Edge mencionadas anteriormente no mês não estão incluídas nesses números.
Vulnerabilidades de dia zero exploradas ativamente
Vários dos dias zero explorados ativamente incluem:
- CVE-2024-38178: Isso envolve corrupção de memória no mecanismo de script, que exige que um usuário autenticado clique em um hyperlink no Microsoft Edge usando o modo Web Explorer. É categorizado em CWE-843.
- CVE-2024-38193: Encontrada no Home windows Ancillary Perform Driver para WinSock, essa falha permite que invasores obtenham privilégios de SISTEMA.
- CVE-2024-38213: Um desvio no Home windows Mark of the Net que permite que invasores criem arquivos contornando avisos de segurança.
- CVE-2024-38106: Envolve uma condição de corrida no Kernel do Home windows, levando à elevação de privilégio. É identificado como CWE-591.
- CVE-2024-38107: Uma vulnerabilidade de uso após liberação no Home windows Energy Dependency Coordinator, categorizada em CWE-416.
- CVE-2024-38189: Este problema de execução remota de código no Microsoft Venture exige que os usuários abram um arquivo malicioso com determinados recursos de segurança desabilitados, decorrentes de validação de entrada inadequada, classificada como CWE-20.
Vulnerabilidades divulgadas publicamente
- CVE-2024-38199: Um problema de execução remota de código no serviço Home windows Line Printer Daemon (LPD), marcado como CWE-416.
- CVE-2024-21302: Uma falha de elevação de privilégios no Modo Kernel Seguro do Home windows, discutida no Black Hat 2024, que permite que invasores substituam arquivos de sistema por versões vulneráveis.
- CVE-2024-38200: Uma vulnerabilidade de falsificação no Microsoft Workplace, expondo hashes NTLM, revelada na Defcon.
- CVE-2024-38202: Outro bug de elevação de privilégio no Home windows Replace Stack, permitindo que usuários básicos “desfaçam” patches ou ignorem recursos do VBS.
Durante o Black Hat 2024, dois novos zero-days foram descobertos, detalhando ataques de rollback no Home windows 10, Home windows 11 e Home windows Server. Essas falhas permitem que um sistema atualizado faça downgrade para uma versão mais antiga e menos segura, evitando proteções de Endpoint Detection and Response (EDR) e deixando rastros mínimos. Embora um patch ainda não esteja disponível, a Microsoft ofereceu etapas de mitigação.
Vulnerabilidades de segurança no Home windows Sensible App Management e SmartScreen foram exploradas por mais de seis anos, permitindo que hackers contornassem alertas de segurança. Um novo problema com arquivos LNK, apelidado de “LNK stomping”, permite que invasores contornem o Sensible App Management. Vulnerabilidades adicionais descobertas pelo Elastic Safety Labs enfraquecem ainda mais as defesas fornecidas pelo Sensible App Management e SmartScreen.