Na terça-feira, a Microsoft revelou que duas falhas de segurança afetando o Windows NT LAN Manager (NTLM) e o Agendador de Tarefas estão sendo ativamente exploradas no ambiente real.
Essas vulnerabilidades de segurança fazem parte das 90 falhas que o gigante da tecnologia abordou na atualização de segurança de novembro de 2024, conhecida como Patch Tuesday. Das 90 vulnerabilidades, quatro são classificadas como Críticas, 85 como Importantes, e uma como Moderada em termos de gravidade. Cinquenta e duas das vulnerabilidades corrigidas são falhas de execução remota de código.
Além disso, foram resolvidas 31 vulnerabilidades no navegador Edge baseado em Chromium desde a atualização de outubro de 2024. As duas vulnerabilidades listadas como ativamente exploradas são:
CVE-2024-43451 (Pontuação CVSS: 6,5) - Vulnerabilidade de Spoofing de Divulgação de Hash NTLM do Windows
CVE-2024-49039 (Pontuação CVSS: 8,8) - Vulnerabilidade de Elevação de Privilégio no Agendador de Tarefas do Windows
A Microsoft explicou sobre a CVE-2024-43451: "Esta vulnerabilidade expõe a hash NTLMv2 de um usuário ao atacante, que pode usá-la para autenticar como o usuário". O pesquisador Israel Yeshurun da ClearSky foi creditado pela descoberta e reporte da falha.
É importante notar que a CVE-2024-43451 é a terceira vulnerabilidade deste tipo após CVE-2024-21410 (corrigida em fevereiro) e CVE-2024-38021 (corrigida em julho), todas capazes de revelar a hash NTLMv2 de um usuário e exploradas neste ano.
"Os atacantes continuam determinados em descobrir e explorar vulnerabilidades de dia zero que podem revelar hashes NTLMv2, pois essas podem ser usadas para se autenticar em sistemas e potencialmente se mover lateralmente dentro de uma rede para acessar outros sistemas", disse Satnam Narang, engenheiro de pesquisa sênior da Tenable.
A CVE-2024-49039, por outro lado, poderia permitir que um atacante executasse funções RPC que normalmente são restritas a contas privilegiadas. No entanto, a Microsoft observa que a exploração bem-sucedida exige que um atacante autenticado execute uma aplicação especialmente criada no sistema alvo para primeiro elevar seus privilégios ao Nível de Integridade Média.
Os pesquisadores Vlad Stolyarov e Bahare Sabouri do Grupo de Análise de Ameaças (TAG) do Google, além de um pesquisador anônimo, foram reconhecidos pelo reporte da vulnerabilidade. Isso sugere que a exploração zero-day da falha pode estar associada a algum grupo alinhado com um estado-nação ou a um ator de ameaça persistente avançado (APT).
Atualmente, não há informações sobre como essas falhas estão sendo exploradas no ambiente real ou a extensão desses ataques, mas o desenvolvimento levou a Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) a adicioná-las ao catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV).
Uma das falhas de zero-day divulgadas publicamente, mas ainda não explorada, é a CVE-2024-49019 (Pontuação CVSS: 7,8), uma vulnerabilidade de escalação de privilégios nos Serviços de Certificado do Active Directory, que poderia ser usada para obter privilégios de administrador de domínio. Detalhes sobre essa vulnerabilidade, apelidada de EKUwu, foram documentados pela TrustedSec no último mês.
Outra vulnerabilidade notável é a CVE-2024-43498 (Pontuação CVSS: 9,8), um bug crítico de execução remota de código no .NET e Visual Studio que um atacante remoto não autenticado poderia explorar enviando solicitações especialmente criadas para um aplicativo web .NET vulnerável ou carregando um arquivo especialmente criado em um aplicativo de desktop vulnerável.
A atualização também corrige uma falha crítica no protocolo criptográfico do Windows Kerberos (CVE-2024-43639, Pontuação CVSS: 9,8), que poderia ser abusada por um atacante não autenticado para realizar execução de código remota.
A vulnerabilidade mais grave deste mês é uma falha de execução remota de código no Azure CycleCloud (CVE-2024-43602, Pontuação CVSS: 9,9), que permite a um atacante com permissões de usuário básicas obter privilégios de nível root.
"A facilidade de exploração foi tão simples quanto enviar uma solicitação para um cluster AzureCloud CycleCloud vulnerável que modificaria sua configuração", explicou Narang. "À medida que as organizações continuam a migrar para recursos na nuvem, a superfície de ataque se amplia."
Por fim, uma CVE não emitida pela Microsoft, mas abordada pela empresa, é uma falha de execução remota de código no OpenSSL (CVE-2024-5535, Pontuação CVSS: 9,1). Essa vulnerabilidade foi originalmente corrigida pelos mantenedores do OpenSSL em junho de 2024.
"A exploração dessa vulnerabilidade requer que um atacante envie um link malicioso à vítima por email ou convença o usuário a clicar no link, tipicamente por meio de um incentivo em email ou mensagem de mensageiro instantâneo", disse a Microsoft.
"Em um cenário de ataque por email de pior caso, um atacante poderia enviar um email especialmente criado para o usuário sem a necessidade de que a vítima abra, leia ou clique no link. Isso poderia resultar na execução de código remoto na máquina da vítima."
Paralelamente à atualização de segurança de novembro, a Microsoft também anunciou sua adoção do framework CSAF (Common Security Advisory Framework), um padrão OASIS para divulgação de vulnerabilidades em formato legível por máquina, para todas as CVEs, a fim de acelerar os esforços de resposta e remediação.
"Arquivos CSAF são destinados a serem consumidos por computadores mais do que por humanos, então estamos adicionando arquivos CSAF como um complemento aos nossos canais de dados CVE existentes, e não como um substituto", disse a empresa. "Este é o começo de uma jornada para continuar a aumentar a transparência em torno de nossa cadeia de suprimentos e as vulnerabilidades que abordamos e resolvemos em toda a nossa cadeia de suprimentos, incluindo software de código aberto embutido em nossos produtos."
Atualizações de Software de Outros Fornecedores
Além da Microsoft, atualizações de segurança também foram lançadas por outros fornecedores nas últimas semanas para corrigir várias vulnerabilidades, incluindo:
Adobe lançou atualizações de segurança para vários aplicativos, incluindo Photoshop, Illustrator e Commerce.
Cisco lança atualizações de segurança para vários produtos, incluindo Cisco Phones, Nexus Dashboard, Identity Services Engine e outros.
Citrix lança atualizações de segurança para as vulnerabilidades do NetScaler ADC e do NetScaler Gateway. Eles também lançaram uma atualização para os Citrix Virtual Apps and Desktops relatados pela Watchtowr.
Dell lança atualizações de segurança para execução de código e falhas de desvio de segurança no SONiC OS.
D-Link lança uma atualização de segurança para uma falha crítica no DSL6740C que permite a modificação de senhas de contas.
Google lançou o Chrome 131, que inclui 12 correções de segurança. Não há zero-days.
Ivanti lança atualizações de segurança para vinte e cinco vulnerabilidades no Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) e Ivanti Secure Access Client (ISAC).
SAP lança atualizações de segurança para vários produtos como parte do November Patch Day.
Schneider Electric lança atualizações de segurança para falhas nos produtos Modicon M340, Momentum e MC80.
Siemens lançou uma atualização de segurança para uma falha crítica de 10/10 no TeleControl Server Basic rastreada como CVE-2024-44102.
Comments