As vulnerabilidades de segurança estão entre os 90 bugs de segurança que a gigante da tecnologia abordou como parte de sua atualização Patch Tuesday para novembro de 2024.
Das 90 falhas, 4 são classificadas como Críticas, 85 são classificadas como Importantes e uma é classificada como Moderada em gravidade. Cinquenta e duas das vulnerabilidades corrigidas são falhas de execução remota de código.
As correções são adicionais às 31 vulnerabilidades que a Microsoft resolveu em seu navegador Edge baseado em Chromium desde o lançamento da atualização Patch Tuesday de outubro de 2024. As duas vulnerabilidades que foram listadas como ativamente exploradas estão abaixo –
- CVE-2024-43451 (pontuação CVSS: 6,5) – Vulnerabilidade de falsificação de divulgação de hash NTLM do Windows
- CVE-2024-49039 (pontuação CVSS: 8,8) – Vulnerabilidade de elevação de privilégio do Agendador de tarefas do Windows
“Essa vulnerabilidade revela o hash NTLMv2 de um usuário ao invasor, que pode usá-lo para se autenticar como o usuário”, disse a Microsoft em um comunicado sobre o CVE-2024-43451, creditando ao pesquisador da ClearSky, Israel Yeshurun, a descoberta e o relato da falha.
Vale ressaltar que CVE-2024-43451 é a terceira falha, depois de CVE-2024-21410 (corrigida em fevereiro) e CVE-2024-38021 (corrigida em julho), que pode ser usada para revelar o hash NTLMv2 de um usuário e foi explorada somente neste ano.
“Os invasores continuam inflexíveis quanto à descoberta e exploração de vulnerabilidades de dia zero que podem revelar hashes NTLMv2, pois podem ser usados para autenticação em sistemas e potencialmente se mover lateralmente dentro de uma rede para acessar outros sistemas”, disse Satnam Narang, engenheiro sênior de pesquisa da Tenable, em um comunicado.
CVE-2024-49039, por outro lado, pode permitir que um invasor execute funções RPC que, de outra forma, seriam restritas a contas privilegiadas. No entanto, a Microsoft observa que a exploração bem-sucedida requer que um invasor autenticado execute um aplicativo especialmente criado no sistema de destino para primeiro elevar seus privilégios a um Nível de Integridade Médio.
Vlad Stolyarov e Bahare Sabouri do Threat Analysis Group (TAG) do Google e um pesquisador anônimo foram reconhecidos por reportar a vulnerabilidade. Isso levanta a possibilidade de que a exploração de dia zero da falha esteja associada a algum grupo alinhado a um estado-nação ou a um ator de ameaça persistente avançada (APT).
Atualmente, não há informações sobre como as deficiências são exploradas na prática ou quão disseminados esses ataques são, mas o desenvolvimento levou a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) a adicioná- los ao catálogo de Vulnerabilidades Exploradas Conhecidas ( KEV ).
Uma das falhas de dia zero divulgadas publicamente, mas ainda não exploradas, é a CVE-2024-49019 (pontuação CVSS: 7,8), uma vulnerabilidade de escalonamento de privilégios nos Serviços de Certificados do Active Directory que pode ser aproveitada para obter privilégios de administrador de domínio. Detalhes da vulnerabilidade, apelidada de EKUwu, foram documentados pela TrustedSec no mês passado.
Outra vulnerabilidade digna de nota é a CVE-2024-43498 (pontuação CVSS: 9,8), um bug crítico de execução remota de código no .NET e no Visual Studio que um invasor remoto não autenticado pode explorar enviando solicitações especialmente criadas para um aplicativo web .NET vulnerável ou carregando um arquivo especialmente criado em um aplicativo de desktop vulnerável.
A atualização também corrige uma falha crítica no protocolo criptográfico que afeta o Windows Kerberos ( CVE-2024-43639 , pontuação CVSS: 9,8) que pode ser usada por um invasor não autenticado para executar código remotamente.
A vulnerabilidade com classificação mais alta no lançamento deste mês é uma falha de execução remota de código no Azure CycleCloud ( CVE-2024-43602 , pontuação CVSS: 9,9), que permite que um invasor com permissões básicas de usuário obtenha privilégios de nível root.
“A facilidade de exploração era tão simples quanto enviar uma solicitação a um cluster vulnerável do AzureCloud CycleCloud que modificaria sua configuração”, disse Narang. “À medida que as organizações continuam a mudar para a utilização de recursos de nuvem, a superfície de ataque se amplia como resultado.“
Por fim, um CVE não emitido pela Microsoft abordado por Redmond é uma falha de execução remota de código no OpenSSL ( CVE-2024-5535 , pontuação CVSS: 9.1). Ele foi originalmente corrigido pelos mantenedores do OpenSSL em junho de 2024.
“A exploração dessa vulnerabilidade exige que um invasor envie um link malicioso para a vítima por e-mail ou que convença o usuário a clicar no link, normalmente por meio de um incentivo em um e-mail ou mensagem do Instant Messenger“, disse a Microsoft.
“No pior cenário de ataque por e-mail, um invasor pode enviar um e-mail especialmente criado para o usuário sem a necessidade de que a vítima abra, leia ou clique no link. Isso pode resultar no invasor executando código remoto na máquina da vítima.”
Coincidindo com a atualização de segurança de novembro, a Microsoft também anunciou a adoção do Common Security Advisory Framework (CSAF), um padrão OASIS para divulgação de vulnerabilidades em formato legível por máquina, para todos os CVEs, a fim de acelerar os esforços de resposta e correção.
“Os arquivos CSAF são feitos para serem consumidos por computadores mais do que por humanos, então estamos adicionando arquivos CSAF como um acréscimo aos nossos canais de dados CVE existentes, em vez de uma substituição”, disse a empresa . “Este é o começo de uma jornada para continuar a aumentar a transparência em torno de nossa cadeia de suprimentos e as vulnerabilidades que abordamos e resolvemos em toda a nossa cadeia de suprimentos, incluindo o Software de Código Aberto incorporado em nossos produtos.”
Patches de software de outros fornecedores
Além da Microsoft, atualizações de segurança também foram lançadas por outros fornecedores nas últimas semanas para corrigir diversas vulnerabilidades, incluindo —
- Adobe
- Serviços da Web da Amazon
- AMD
- Maçã
- ASUS
- Atlassiano
- Bosch
- Broadcom (incluindo VMware)
- Cisco
- Citrix
- CÓDIGOS
- Link D
- Dell
- Drupal
- F5
- Fortinet
- Forte
- Laboratório Git
- Google Android e Pixel
- Google Chrome
- Nuvem do Google
- Google Wear OS
- Hikvision
- Energia Hitachi
- Redes HMS
- HP
- HP Enterprise (incluindo Aruba Networking)
- IBM
- Intel
- Ivanti
- Redes Juniper
- Lenovo
- Distribuições Linux Amazon Linux , Debian , Oracle Linux , Red Hat , Rocky Linux , SUSE e Ubuntu
- MediaTek
- Mitel
- Mitsubishi Elétrica
- Mozilla Firefox, Firefox ESR e Thunderbird
- NETGEAR
- NVIDIA
- Octa
- Redes Palo Alto
- Software de progresso
- QNAP
- Qualcomm
- Automação Rockwell
- Samsung
- SEIVA
- Schneider Electric
- Siemens
- Ventos solares
- Splunk
- Estrutura de primavera
- Sinologia
- TP-Link
- Microtendência
- Veeam
- Verdadeiras
- Zimbra
- Ampliar , e
- Zyxel
Fonte: The Hacker News
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
