URGENTE: Microsoft lança atualizações de correção para 5 novas vulnerabilidades Zero-Day

A Microsoft lançou correções para 63 falhas de segurança em seus softwares para o mês de novembro de 2023, incluindo três vulnerabilidades amplamente exploradas.

Das 63 falhas, três são classificadas como Críticas, 56 são classificadas como Importantes e quatro são classificadas como Moderadas. Duas delas foram listadas como publicamente conhecidas no momento da divulgação.

As atualizações somam-se a mais de 35 falhas de segurança em seu navegador Edge baseado em Chromium desde o lançamento das atualizações do Patch Tuesday para outubro de 2023.

Os cinco Zero-Day que merecem destaque são os seguintes:

CVE-2023-36025 (CVSS: 8,8) - Vulnerabilidade de bypass de recurso de segurança do Windows SmartScreen

CVE-2023-36033 ( CVSS: 7,8) - Vulnerabilidade de elevação de privilégio da Biblioteca Principal do Windows DWM

CVE-2023-36036 (CVSS: 7,8) - Vulnerabilidade de elevação de privilégio do Mini Filtro de Arquivos em Nuvem do Windows

CVE-2023-36038 (CVSS: 8,2) - Vulnerabilidade de negação de serviço do ASP.NET Core

CVE-2023-36413 (CVSS: 6,5) - Vulnerabilidade de bypass de recurso de segurança do Microsoft Office

Tanto o CVE-2023-36033 quanto o CVE-2023-36036 podem ser explorados por um ofensor que busca obter privilégios do sistema, enquanto o CVE-2023-36025 pode possibilitar a violação das verificações do Windows Defender SmartScreen e de seus prompts associados.

"O usuário teria que clicar em uma URL ou em um hiperlink apontando para um arquivo para ser comprometido pelo ofensor", afirmou a Microsoft sobre o CVE-2023-36025.

O CVE-2023-36025 é a terceira vulnerabilidade zero-day do Windows SmartScreen explorada em 2023 e a quarta nos últimos dois anos. Em dezembro de 2022, a Microsoft corrigiu o CVE-2022-44698 (CVSS: 5,4), enquanto o CVE-2023-24880 (CVSS: 5,1) foi corrigida em março e o CVE-2023-32049 (CVSS: 8,8) foi corrigido em julho.

No entanto, a Microsoft não forneceu orientações adicionais sobre os mecanismos de ataque utilizados pelos ofensores nem os meios pelos quais eles realizam os exploits. Mas o exploit de escalonamento de privilégios sugere que eles são usados em conjunto com um bug de execução de código remoto.

"Houveram 12 vulnerabilidades de escalonamento de privilégios na biblioteca Principal do DWM nos últimos dois anos, embora esta seja a primeira a ter sido explorada como zero-day", disse Satnam Narang, engenheiro de pesquisa sênior da Tenable, em um comunicado compartilhado com o The Hacker News.

O desenvolvimento levou a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) a adicionar as três questões ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), instando as agências federais a aplicarem as correções até 5 de dezembro de 2023.

Também corrigidos pela Microsoft estão dois defeitos críticos de execução remota de código no Protocolo de Autenticação Extensível Protegido (PEAP) e no Multicast Geral Pragmático (PGM) (CVE-2023-36028 e CVE-2023-36397, CVSS: 9,8) que um ofensor poderia explorar para executar código malicioso.

A atualização de novembro inclui ainda uma correção para o CVE-2023-38545 (pontuação CVSS: 9,8), uma falha crítica de buffer overflow baseado em heap na biblioteca curl que veio à público em outubro, além de uma vulnerabilidade de divulgação de informações do comando REST da CLI do Azure (CVE-2023-36052, CVSS: 8,6).

"Um atacante que explorasse com sucesso essa vulnerabilidade poderia recuperar senhas e nomes de usuário em texto simples dos arquivos de log criados pelos comandos afetados do CLI e publicados pelo Azure DevOps e/ou GitHub Actions", afirmou a Microsoft.

O pesquisador da Palo Alto Networks, Aviad Hahami, que relatou o problema, disse que a vulnerabilidade poderia permitir o acesso a credenciais armazenadas no log do pipeline e permitir ao ofensor aumentar seus privilégios para ataques subsequentes.

Em resposta, a Microsoft afirmou que fez alterações em vários comandos do Azure CLI para fortalecer o Azure CLI (versão 2.54) contra o uso inadvertido que poderia resultar na exposição de segredos.

Patches de Software de Outros Fornecedores # Além da Microsoft, atualizações de segurança também foram lançadas por outros fornecedores nas últimas semanas para corrigir várias vulnerabilidades, incluindo —

• Adobe

• AMD (incluindo CacheWarp)

• Android

• Apache Projects

• Apple

• Aruba Networks

• Arm

• ASUS

• Atlassian

• Cisco

• CODESYS

• Dell

• Drupal

• F5

• Fortinet

• GitLab

• Google Chrome

• Hitachi Energy

• HP

• IBM

• Intel (incluindo Reptar)

• Jenkins

• Juniper Networks

• Lenovo

• Debian, Oracle Linux, Red Hat, SUSE e Ubuntu (Distribuições Linux)

• MediaTek

• Mitsubishi Electric

• NETGEAR

• NVIDIA

• Palo Alto Networks

• Qualcomm

• Samsung

• SAP

• Schneider Electric

• Siemens

• SolarWinds

• SonicWall

• SysAid

• Trend Micro

• Veeam

• Veritas

• VMware

• WordPress

• Zimbra

• Zoom

• Zyxel

Via - THN