- O evento Patch Tuesday deste mês traz aos usuários de todos os lugares um total de 67 correções.
- Quase metade dos patches lançados lidar com problemas de privilégios do usuário em um computador.
- Executar código arbitrário no computador da vítima também é um problema resolvido agora.
- O componente MSHTML do Microsoft Office também está sendo explorado ativamente.
As atualizações regulares da empresa de Redmond assumem a maior importância neste mês, conforme a empresa lança uma correção para um bug de gravidade crítica.
Isso está sendo referido atualmente por sua referência de designação de vulnerabilidade, CVE-2021-40444.
Também sabemos que atualmente está sendo explorado, em documentos do Office, bem como em patches significativos para produtos e serviços em nuvem da Microsoft.
Microsoft corrige brechas de segurança por meio do Patch Tuesday
Durante o evento Patch Tuesday deste mês, a Microsoft lançou um total de 67 correções para muitos de seus produtos.
O maior número de correções, que é 27, foi para reparar problemas que um invasor pode usar para aumentar seu próprio nível de privilégio em um computador.
Se você está se perguntando sobre o segundo maior número, que neste caso é 14, trata da capacidade de um invasor de executar código arbitrário no computador da vítima.
É importante saber que todas as vulnerabilidades críticas, exceto uma, se enquadram na categoria de execução remota de código.
Isso inclui o bug -40444, que foi apelidado de Vulnerabilidade de execução remota de código Microsoft MSHTML.
A vulnerabilidade crítica não-RCE é um bug de divulgação de informações que afeta Esfera Azure (CVE-2021-36956), uma plataforma criada pela Microsoft com o objetivo de adicionar uma camada de segurança aos dispositivos de Internet das Coisas (IoT).
Alguns dos bugs desagradáveis que afetam o navegador Edge nas plataformas Android e iOS também foram corrigidos pela gigante da tecnologia.
Os usuários desse navegador nesses dispositivos terão, necessariamente, que obter suas versões fixas do app store relevante para seu dispositivo, ambos sujeitos a uma vulnerabilidade que a Microsoft descreve como spoofing.
As vulnerabilidades críticas que afetam o próprio Windows (CVE-2021-36965 e CVE-2021-26435) se aplicam a um componente denominado WLAN AutoConfig Service.
Se você não sabia, isso faz parte do mecanismo que o Windows 10 usa para escolher a rede sem fio à qual um computador se conectará e para o Windows Scripting Engine, respectivamente.
A Microsoft não forneceu informações adicionais antes do prazo de lançamento do Patch Tuesday sobre o mecanismo pelo qual esses bugs executam código em um sistema.
Os desenvolvedores de Redmond lidam com um enorme bug do Office este mês
Depois que esse bug foi descoberto e se tornou de conhecimento público em 7 de setembro, pesquisadores e analistas de segurança começaram a trocar exemplos de prova de conceito de como um invasor pode aproveitar a exploração.
Infelizmente, o perfil desse bug significa que os invasores perceberam e provavelmente começarão a explorar a vulnerabilidade.
Esse bug desagradável envolve o componente MSHTML do Microsoft Office, que pode processar páginas do navegador no contexto de um documento do Office.
Na exploração do bug, um invasor cria um controle ActiveX projetado com códigos maliciosos e, em seguida, incorpora código em um documento do Office que chama o controle ActiveX quando o documento é aberto ou pré-visualizado.
As etapas do ataque são, em termos gerais:
- O destino recebe um documento do Office .docx ou .rtf e o abre
- O documento extrai HTML remoto de um endereço da web malicioso
- O site malicioso entrega um arquivo .CAB ao computador do alvo
- A exploração inicia um executável de dentro do .CAB (geralmente nomeado com uma extensão .INF)
O script malicioso usa o manipulador embutido para .cpl (Painel de controle do Windows) para executar o arquivo com uma extensão .inf (que na verdade é um .dll malicioso) extraído do arquivo .cab.
Muitas pessoas não apenas criaram exploits de prova de conceito funcional (PoC), mas alguns criaram e publicaram ferramentas de construção que qualquer um pode usar para tornar um documento do Office como uma arma.
A versão original do exploit usava o Microsoft Word.docx documentos, mas já identificamos algumas versões que usam.rtf extensões de arquivo.
Os invasores usam as técnicas não apenas para iniciar arquivos .exe, mas também arquivos .dll maliciosos, usando rundll32. Não há razão para acreditar que a exploração não expandirá seu alcance para outros tipos de documentos do Office também.
É bom saber que os funcionários de Redmond estão fazendo o melhor que podem para nos manter seguros, mas tudo se trata de um esforço comum, então também temos que fazer nossa parte.
O que você acha das atualizações da Patch Tuesday deste mês? Compartilhe sua opinião conosco na seção de comentários abaixo.
