Saudações do acampamento de verão hacker! Black Hat e DEFCON começam esta semana, mas vamos começar com o Patch Tuesday e as ofertas de segurança mais recentes da Adobe e da Microsoft. Faça uma pausa em suas atividades programadas regularmente e junte-se a nós enquanto analisamos os detalhes de seus comunicados mais recentes. Se preferir assistir ao vídeo de recapitulação, você pode conferir aqui.
Patches da Adobe para agosto de 2023
Em agosto, a Adobe lançou quatro patches abordando 37 CVEs no Adobe Acrobat e Reader, Commerce, Dimension e no Adobe XMP Toolkit SDK. Um total de 28 destes CVEs vieram através do programa ZDI. A atualização do Reader é a maior, com 30 CVEs. Os mais graves são classificados como Críticos e permitiriam a execução de código ao abrir um PDF especialmente criado. A atualização para Commerce corrige três CVEs, incluindo um bug de injeção de comando do sistema operacional avaliado em CVSS 9.1. A atualização do Dimension também corrige três CVEs. Semelhante ao leitor, o invasor pode obter execução de código se um sistema afetado abrir um arquivo especialmente criado. O patch final para o Adobe XMP Toolkit SDK corrige um único bug de negação de serviço (DoS).
Nenhum dos bugs corrigidos pela Adobe este mês está listado como conhecido publicamente ou sob ataque ativo no momento do lançamento. A Adobe categoriza essas atualizações como uma classificação de prioridade de implantação de 3.
Patches da Microsoft para agosto de 2023
Este mês, a Microsoft lançou 74 novos patches e dois novos comunicados abordando CVES no Microsoft Windows e nos componentes do Windows; Edge (baseado em cromo); Servidor Exchange; Componentes de escritório e escritório; .NET e Visual Studio; ASP.NET; Azure DevOps e HDInsights; Equipes; e Windows Defender. Três destes CVEs foram reportados através do programa ZDI e com base na nossa próxima página, muitos outros surgirão num futuro próximo. Depois de incluir as 11 correções do grupo Chromium para Edge (baseado em Chromium) e a correção para AMD, o número total de CVEs chega a 86.
Dos novos patches lançados hoje, seis são classificados como Críticos e 67 são classificados como Importantes em termos de gravidade. Isso é inferior para uma versão de agosto, mas talvez a Microsoft tenha se distraído com outros problemas de segurança .
Este volume de correções é o maior que vimos nos últimos anos, embora não seja incomum ver a Microsoft lançar um grande número de correções pouco antes da conferência Black Hat USA. Será interessante ver se o lançamento de agosto, que chega um dia antes dos briefings da Black Hat, também será um grande lançamento.
Nenhum dos CVEs divulgados hoje está listado como conhecido publicamente ou sob ataque ativo no momento do lançamento. Vamos dar uma olhada em algumas das atualizações mais interessantes deste mês, começando com a correção que não é uma correção:
– ADV230003 – Atualização detalhada do Microsoft Office Defense
Este comunicado não fornece uma correção para CVE-2023-36884, mas (supostamente) quebra a cadeia de exploração atualmente usada em ataques ativos. A Microsoft lançou um comunicado no mês passado fornecendo alguns detalhes sobre esse bug, mas não um patch para corrigi-lo. Surpreendentemente, ainda não existe um patch – apenas esta mitigação. Esperançosamente, um patch completo para resolver completamente esse bug explorado será lançado em breve.
[ATUALIZAÇÃO] A Microsoft revisou o CVE-2023-36844 para incluir patches para todos os 33 produtos afetados. Você deve aplicar o patch e considerar este aviso apenas como uma correção temporária.
– CVE-2023-38181 – Vulnerabilidade de falsificação do Microsoft Exchange Server
Este é um desvio de patch do CVE-2023-32031, que por si só era um desvio do CVE-2023-21529, que era um desvio do CVE-2022-41082, que estava sob ataque ativo. Esta exploração requer autenticação, mas se for explorada, um invasor poderá usá-la para executar um ataque de retransmissão NTLM para autenticar-se como outro usuário. Também poderia permitir que um invasor obtivesse uma sessão remota do PowerShell para o servidor. Este é um dos seis CVEs corrigidos no Exchange este mês, e cada um parece mais grave que o outro. Definitivamente, reserve um tempo para testar e implantar a atualização cumulativa rapidamente.
– CVE-2023-35385 / 36910 / 36911 – Vulnerabilidade de execução remota de código no enfileiramento de mensagens da Microsoft
Todos os três são classificados em um CVSS de 9,8 e podem permitir que um invasor anônimo remoto execute seu código em um servidor afetado no nível da mensagem Serviço de fila. Há um total de 11 bugs que afetam o enfileiramento de mensagens sendo corrigidos este mês, e está claro que a comunidade de pesquisa está prestando muita atenção a este serviço. Embora ainda não tenhamos detectado explorações ativas direcionadas ao serviço de enfileiramento de mensagens, é como se fosse apenas uma questão de tempo até que existam exemplos de PoCs. Você pode bloquear a porta TCP 1801 como uma atenuação, mas a melhor opção é testar e implantar a atualização rapidamente.
– CVE-2023-29328 / 29330 – Vulnerabilidade de execução remota de código do Microsoft Teams
Esses bugs permitem que um invasor obtenha a execução de código em um sistema de destino, convencendo alguém a uma reunião maliciosa do Teams organizada pelo invasor. A Microsoft não declara especificamente em que nível ocorre a execução do código, mas observa que o invasor pode fornecer “acesso às informações da vítima e a capacidade de alterar as informações”, o que implica no nível do usuário conectado. Vimos explorações semelhantes demonstradas em Pwn2Own , então não pule esta atualização.
– CVE-2023-21709 – Vulnerabilidade de elevação de privilégio do Microsoft Exchange Server
Eu sei que já mencionei o Exchange, mas não poderia deixar esse CVE passar sem mencionar. Esta vulnerabilidade permite que um invasor remoto e não autenticado faça login como outro usuário. Nesse caso, você está passando de nenhuma permissão para ser capaz de se autenticar no servidor, o que torna viáveis todas essas explorações pós-autenticação (veja acima). Embora classificado como Importante, eu consideraria esse bug classificado como Crítico e agiria de acordo.
Aqui está a lista completa de CVEs divulgada pela Microsoft em agosto de 2023:
| CVE | Título | Gravidade | CVSS | Público | Explorado | Tipo |
| CVE-2023-35385 | Vulnerabilidade de execução remota de código no enfileiramento de mensagens da Microsoft | Crítico | 9,8 | Não | Não | RCE |
| CVE-2023-36910 | Vulnerabilidade de execução remota de código no enfileiramento de mensagens da Microsoft | Crítico | 9,8 | Não | Não | RCE |
| CVE-2023-36911 | Vulnerabilidade de execução remota de código no enfileiramento de mensagens da Microsoft | Crítico | 9,8 | Não | Não | RCE |
| CVE-2023-29328 | Vulnerabilidade de execução remota de código do Microsoft Teams | Crítico | 8.8 | Não | Não | RCE |
| CVE-2023-29330 | Vulnerabilidade de execução remota de código do Microsoft Teams | Crítico | 8.8 | Não | Não | RCE |
| CVE-2023-36895 | Vulnerabilidade de execução remota de código no Microsoft Outlook | Crítico | 7,8 | Não | Não | RCE |
| CVE-2023-20569 * | AMD: Preditor de endereço de retorno CVE-2023-20569 | Importante | N / D | Não | Não | Informações |
| CVE-2023-35390 | Vulnerabilidade de execução remota de código no .NET Core | Importante | 8.4 | Não | Não | RCE |
| CVE-2023-36899 | Vulnerabilidade de elevação de privilégio do .NET Framework | Importante | 7,5 | Não | Não | EoP |
| CVE-2023-36873 | Vulnerabilidade de falsificação do .NET Framework | Importante | 5.9 | Não | Não | Falsificação |
| CVE-2023-35391 | Vulnerabilidade de divulgação de informações do ASP.NET Core e do Visual Studio | Importante | 7.1 | Não | Não | Informações |
| CVE-2023-38178 | Vulnerabilidade de negação de serviço do ASP.NET | Importante | 7,5 | Não | Não | DoS |
| CVE-2023-38180 | Vulnerabilidade de negação de serviço do ASP.NET | Importante | 7,5 | Não | Não | DoS |
| CVE-2023-36881 | Vulnerabilidade de falsificação do Azure Apache Ambari | Importante | 4,5 | Não | Não | Falsificação |
| CVE-2023-38188 | Vulnerabilidade de falsificação do Azure Apache Hadoop | Importante | 4,5 | Não | Não | Falsificação |
| CVE-2023-35393 | Vulnerabilidade de falsificação do Azure Apache Hive | Importante | 4,5 | Não | Não | Falsificação |
| CVE-2023-36877 | Vulnerabilidade de falsificação do Azure Apache Oozie | Importante | 4,5 | Não | Não | Falsificação |
| CVE-2023-38176 | Vulnerabilidade de elevação de privilégio de servidores habilitados para Azure Arc | Importante | 8,5 | Não | Não | EoP |
| CVE-2023-36869 | Vulnerabilidade de falsificação do servidor Azure DevOps | Importante | 6.3 | Não | Não | Falsificação |
| CVE-2023-35394 | Vulnerabilidade de falsificação de notebook Jupyter do Azure HDInsight | Importante | 4,5 | Não | Não | Falsificação |
| CVE-2023-38170 | Vulnerabilidade de execução remota de código em extensões de vídeo HEVC | Importante | 7,8 | Não | Não | RCE |
| CVE-2023-35389 | Vulnerabilidade de execução remota de código no local do Microsoft Dynamics 365 | Importante | 7.1 | Não | Não | RCE |
| CVE-2023-38157 | Vulnerabilidade de desvio de recurso de segurança do Microsoft Edge (baseado em Chromium) | Importante | 3.9 | Não | Não | SFB |
| CVE-2023-36896 | Vulnerabilidade de execução remota de código no Microsoft Excel | Importante | 7,8 | Não | Não | RCE |
| CVE-2023-35368 | Vulnerabilidade de execução remota de código no Microsoft Exchange | Importante | 8.8 | Não | Não | RCE |
| CVE-2023-21709 | Vulnerabilidade de elevação de privilégio do Microsoft Exchange Server | Importante | 9,8 | Não | Não | EoP |
| CVE-2023-35388 | Vulnerabilidade de execução remota de código do Microsoft Exchange Server | Importante | 8 | Não | Não | RCE |
| CVE-2023-38182 | Vulnerabilidade de execução remota de código do Microsoft Exchange Server | Importante | 8 | Não | Não | RCE |
| CVE-2023-38185 | Vulnerabilidade de execução remota de código do Microsoft Exchange Server | Importante | 8.8 | Não | Não | RCE |
| CVE-2023-38181 | Vulnerabilidade de falsificação do Microsoft Exchange Server | Importante | 8.8 | Não | Não | Falsificação |
| CVE-2023-35376 | Vulnerabilidade de negação de serviço no enfileiramento de mensagens da Microsoft | Importante | 6,5 | Não | Não | DoS |
| CVE-2023-35377 | Vulnerabilidade de negação de serviço no enfileiramento de mensagens da Microsoft | Importante | 6,5 | Não | Não | DoS |
| CVE-2023-36909 | Vulnerabilidade de negação de serviço no enfileiramento de mensagens da Microsoft | Importante | 6,5 | Não | Não | DoS |
| CVE-2023-36912 | Vulnerabilidade de negação de serviço no enfileiramento de mensagens da Microsoft | Importante | 7,5 | Não | Não | DoS |
| CVE-2023-38172 | Vulnerabilidade de negação de serviço no enfileiramento de mensagens da Microsoft | Importante | 7,5 | Não | Não | DoS |
| CVE-2023-38254 | Vulnerabilidade de negação de serviço no enfileiramento de mensagens da Microsoft | Importante | 6,5 | Não | Não | DoS |
| CVE-2023-35383 | Vulnerabilidade de divulgação de informações do enfileiramento de mensagens da Microsoft | Importante | 7,5 | Não | Não | Informações |
| CVE-2023-36913 | Vulnerabilidade de divulgação de informações do enfileiramento de mensagens da Microsoft | Importante | 6,5 | Não | Não | Informações |
| CVE-2023-35371 | Vulnerabilidade de execução remota de código no Microsoft Office | Importante | 7,8 | Não | Não | RCE |
| CVE-2023-35372 | Vulnerabilidade de execução remota de código no Microsoft Office Visio | Importante | 7,8 | Não | Não | RCE |
| CVE-2023-36865 | Vulnerabilidade de execução remota de código no Microsoft Office Visio | Importante | 7,8 | Não | Não | RCE |
| CVE-2023-36866 | Vulnerabilidade de execução remota de código no Microsoft Office Visio | Importante | 7,8 | Não | Não | RCE |
| CVE-2023-38169 | Vulnerabilidade de execução remota de código do Microsoft OLE DB | Importante | 8.8 | Não | Não | RCE |
| CVE-2023-36893 | Vulnerabilidade de falsificação do Microsoft Outlook | Importante | 6,5 | Não | Não | Falsificação |
| CVE-2023-36890 | Vulnerabilidade de divulgação de informações do Microsoft SharePoint Server | Importante | 6,5 | Não | Não | Informações |
| CVE-2023-36894 | Vulnerabilidade de divulgação de informações do Microsoft SharePoint Server | Importante | 6,5 | Não | Não | Informações |
| CVE-2023-36891 | Vulnerabilidade de falsificação do Microsoft SharePoint Server | Importante | 8 | Não | Não | Falsificação |
| CVE-2023-36892 | Vulnerabilidade de falsificação do Microsoft SharePoint Server | Importante | 8 | Não | Não | Falsificação |
| CVE-2023-36882 | Provedor Microsoft WDAC OLE DB para vulnerabilidade de execução remota de código do SQL Server | Importante | 8.8 | Não | Não | RCE |
| CVE-2023-38175 | Vulnerabilidade de elevação de privilégio do Microsoft Windows Defender | Importante | 7,8 | Não | Não | EoP |
| CVE-2023-35379 | Vulnerabilidade de elevação de privilégio do mecanismo de cálculo de métricas de análise de confiabilidade (RACEng) | Importante | 7,8 | Não | Não | EoP |
| CVE-2023-36898 | Vulnerabilidade de execução remota de código no núcleo do aplicativo da interface de usuário do Tablet Windows | Importante | 7,8 | Não | Não | RCE |
| CVE-2023-36897 | Vulnerabilidade de falsificação das ferramentas do Visual Studio para Office Runtime | Importante | 5.9 | Não | Não | Falsificação |
| CVE-2023-35387 | Vulnerabilidade de elevação de privilégio do driver Bluetooth A2DP do Windows | Importante | 8.8 | Não | Não | EoP |
| CVE-2023-36904 | Vulnerabilidade de elevação de privilégio do driver de minifiltro de arquivos em nuvem do Windows | Importante | 7,8 | Não | Não | EoP |
| CVE-2023-36900 | Vulnerabilidade de elevação de privilégio do driver do sistema de arquivos de log comum do Windows | Importante | 7,8 | Não | Não | EoP |
| CVE-2023-36906 | Vulnerabilidade de divulgação de informações dos serviços criptográficos do Windows | Importante | 5.5 | Não | Não | Informações |
| CVE-2023-36907 | Vulnerabilidade de divulgação de informações dos serviços criptográficos do Windows | Importante | 5.5 | Não | Não | Informações |
| CVE-2023-35381 | Vulnerabilidade de execução remota de código no serviço de fax do Windows | Importante | 8.8 | Não | Não | RCE |
| CVE-2023-36889 | Vulnerabilidade de desvio de recurso de segurança da política de grupo do Windows | Importante | 5.5 | Não | Não | SFB |
| CVE-2023-35384 | Vulnerabilidade de desvio de recurso de segurança de plataformas HTML do Windows | Importante | 5.4 | Não | Não | SFB |
| CVE-2023-36908 | Vulnerabilidade de divulgação de informações do Windows Hyper-V | Importante | 5.7 | Não | Não | Informações |
| CVE-2023-35359 | Vulnerabilidade de elevação de privilégio do kernel do Windows | Importante | 7,8 | Não | Não | EoP |
| CVE-2023-35380 | Vulnerabilidade de elevação de privilégio do kernel do Windows | Importante | 7,8 | Não | Não | EoP |
| CVE-2023-38154 | Vulnerabilidade de elevação de privilégio do kernel do Windows | Importante | 7,8 | Não | Não | EoP |
| CVE-2023-35382 | Vulnerabilidade de elevação de privilégio do kernel do Windows | Importante | 7,8 | Não | Não | EoP |
| CVE-2023-35386 | Vulnerabilidade de elevação de privilégio do kernel do Windows | Importante | 7,8 | Não | Não | EoP |
| CVE-2023-38184 | Vulnerabilidade de execução remota de código do Windows Lightweight Directory Access Protocol (LDAP) | Importante | 7,5 | Não | Não | RCE |
| CVE-2023-38186 | Vulnerabilidade de elevação de privilégio no gerenciamento de dispositivos móveis do Windows | Importante | 7,8 | Não | Não | EoP |
| CVE-2023-35378 | Vulnerabilidade de elevação de privilégio do sistema de arquivos projetado do Windows | Importante | 7 | Não | Não | EoP |
| CVE-2023-36914 | Vulnerabilidade de desvio de recurso de segurança do servidor de gerenciamento de recursos de cartão inteligente do Windows | Importante | 5.5 | Não | Não | SFB |
| CVE-2023-36903 | Vulnerabilidade de elevação de privilégio da ferramenta de avaliação do sistema Windows | Importante | 7,8 | Não | Não | EoP |
| CVE-2023-36876 | Vulnerabilidade de elevação de privilégio do Agendador de Tarefas do Windows | Importante | 7.1 | Não | Não | EoP |
| CVE-2023-36905 | Vulnerabilidade de divulgação de informações do serviço de rede de longa distância sem fio do Windows (WwanSvc) | Importante | 5.5 | Não | Não | Informações |
| CVE-2023-38167 | Vulnerabilidade de elevação de privilégio do Microsoft Dynamics Business Central | Importante | 7.2 | Não | Não | EoP |
| CVE-2023-4068 * | Digite Confusão no V8 | Alto | N / D | Não | Não | RCE |
| CVE-2023-4069* | Digite Confusão no V8 | Alto | N / D | Não | Não | RCE |
| CVE-2023-4070 * | Digite Confusão no V8 | Alto | N / D | Não | Não | RCE |
| CVE-2023-4071 * | Estouro de buffer de heap em recursos visuais | Alto | N / D | Não | Não | RCE |
| CVE-2023-4072 * | Leitura e gravação fora dos limites em WebGL | Alto | N / D | Não | Não | RCE |
| CVE-2023-4073* | Acesso à memória fora dos limites em ANGLE | Alto | N / D | Não | Não | RCE |
| CVE-2023-4074* | Use gratuitamente no Blink Task Scheduling | Alto | N / D | Não | Não | RCE |
| CVE-2023-4075 * | Use depois gratuitamente no Cas | Alto | N / D | Não | Não | RCE |
| CVE-2023-4076* | Use gratuitamente no WebRTC | Alto | N / D | Não | Não | RCE |
| CVE-2023-4077 * | Validação de dados insuficiente em extensões | Médio | N / D | Não | Não | SFB |
| CVE-2023-4078 * | Implementação inadequada em extensões | Médio | N / D | Não | Não | SFB |
*Indica que este CVE foi lançado por terceiros e agora está sendo incluído nas versões da Microsoft .
Existem apenas outros patches com classificação crítica sendo lançados hoje para o Outlook. Isso é um pouco estranho, já que esses tipos de bugs abertos e próprios são normalmente classificados como Importantes devido à interação necessária do usuário. A exceção é quando o Painel de Visualização é um vetor de ataque, mas isso não está documentado aqui. Há claramente algo que destaca esse bug, mas a Microsoft não oferece pistas sobre o que possa ser. Observe também que se você usa o Outlook para Mac, terá que esperar pela atualização, pois a Microsoft não a lançou hoje.
Olhando para os outros patches de execução remota de código, muitos são os bugs esperados do Office com classificação importante. Existem também RCEs adicionais do Exchange, embora exijam que o invasor esteja adjacente à rede – ou seja, na mesma LAN que o alvo. O preocupante é o CVE-2023-38185, que requer autenticação, mas pode permitir que um invasor execute código elevado por meio de uma chamada de rede. Existem dois bugs separados que exigem conexão com um banco de dados malicioso. Observe também que se você instalou o Microsoft SQL Server 2022 para sistemas baseados em x64 (GDR) ou o Microsoft SQL Server 2019 para sistemas baseados em x64 (GDR), você ainda estará vulnerável e precisará aplicar esta atualização. Há um patch para LDAP que permitiria a um invasor executar código com as permissões do serviço por meio de uma chamada LDAP especialmente criada.
Passando para os bugs de Elevação de Privilégio (EoP) que receberam patches este mês, a grande maioria exige que um invasor execute um programa especialmente criado em um sistema afetado. Na maioria dos casos, isso faz com que os invasores executem código no nível do SISTEMA. O bug nos servidores habilitados para Azure Arc é um tanto interessante porque afeta servidores Linux e Windows. Um invasor pode ascender a root ou administrador, respectivamente. O bug no Windows Defender permitiria que um invasor excluísse arquivos arbitrários de um sistema. A vulnerabilidade do Agendador de Tarefas também permite a criação e exclusão de arquivos, mas você não seria capaz de sobrescrever os arquivos existentes – apenas excluí-los. O bug no .NET Framework geraria apenas privilégios no aplicativo de destino. Por último, o bug no Bluetooth geraria acesso ao SISTEMA, mas somente depois de emparelhar um dispositivo Bluetooth.
Existem apenas quatro correções de bypass de recurso de segurança (SFB) no lançamento deste mês, e a mais grave é provavelmente o bug no Windows Smart Card Resource Management Server. Essa falha pode permitir que um invasor ignore o recurso de autenticação segura Fast Identity Online (FIDO), que remove efetivamente a autenticação de dois fatores. O SFB em plataformas HTML é semelhante a outros bugs que foram explorados à solta. Um invasor pode usar esse bug para mapear URLs para a zona de segurança incorreta. O SFB para Edge-Chromium é confuso, pois a Microsoft afirma que o acesso físico e a interação do usuário são necessários, mas não detalha nenhum dos pontos. O bug na Política de Grupo permitiria que um invasor lesse configurações específicas da Política de Grupo, mas não as alterasse.
In addition to the Exchange spoofing bug previously mentioned, there are 11 other spoofing fixes in the August release. The bugs in SharePoint act like cross-site scripting (XSS) bugs and require multiple patches to address. Be sure you install all applicable updates. The bug in Outlook could allow the disclosure of NetNTLMv2 hashes, which would allow an attacker to potentially authenticate as another user. Little information is available about the other fixes, although Microsoft notes user interaction is required for all of the other bugs. The Azure Apache cases (yes – that sounds odd to me too) require an administrator to open a malicious file.
The August release contains 10 total information disclosure fixes. Fortunately, the majority of these merely result in info leaks consisting of unspecified memory contents. One of the bugs in SharePoint could disclose the cryptically-named “sensitive information”. Thanks for narrowing that down. The other SharePoint bug could leak private property values. The bug in ASP.NET is interesting as it could be used to listen to any group or user with a specially crafted group/username. By exploiting this vulnerability, the attacker can now receive messages for group(s) that they are unauthorized to view. The Hyper-V bug could allow a guest to disclose info from the Hyper-V host, but no details on what information is available. Finally, the AMD return address predictor fix is also included in this release.
Wrapping things up, there are eight fixes for Denial-of-Service (DoS) bugs, with six of these being for the Message Queuing service. Microsoft notes user interaction is required for some of these bugs in that the bug is triggered “when a user on the target machine accesses message queuing.” However, users may not be aware which application use message queuing and unintentionally create a DoS condition on the system. No further information is available regarding the two ASP.NET DoS bugs.
O outro novo comunicado ( ADV230004 ) é uma atualização de defesa profunda para a ferramenta de verificação Memory Integrity System Readiness. Também conhecida como integridade de código protegida por hipervisor (HVCI), esta ferramenta para processadores ARM64 e AMD64 verifica problemas de compatibilidade com integridade de memória. A atualização de lançamento resolve um bug conhecido publicamente. As atualizações mais recentes da pilha de serviços podem ser encontradas no ADV990001 revisado .
Olhando para o futuro
A próxima Patch Tuesday será no dia 12 de setembro, e então retornarei com detalhes e análises do patch. Até então, fique seguro, feliz com os patches e que todas as suas reinicializações sejam suaves e limpas!
+ There are no comments
Add yours