Na primeira Patch Tuesday de 2022, a Microsoft corrigiu vulnerabilidades no Windows 10 e 11, Windows Server 2019 e 2022, Exchange Server, Office e do navegador Edge.
A Microsoft começou o ano com uma correção massiva de vulnerabilidades, lançando não apenas sua primeira atualização regular na terça-feira, que desta vez cobre um total de 96 vulnerabilidades, mas também emitindo várias correções para o navegador Microsoft Edge (principalmente relacionadas ao mecanismo Chromium) . Isso fez com que mais de 120 vulnerabilidades fossem corrigidas desde o início do ano. Este é um motivo claro para atualizar o sistema operacional e alguns aplicativos da Microsoft o mais rápido possível.
Vulnerabilidades mais graves
Nove das vulnerabilidades que foram corrigidas nesta terça-feira têm classificação crítica na escala CVSS 3.1. Dessas, duas estão relacionadas ao escalonamento de privilégios: CVE-2022-21833 na unidade IDE de máquina virtual e CVE-2022-21857 nos serviços de domínio do Active Directory. A exploração dos outros sete pode dar a um invasor a capacidade de execução remota de código:
- CVE-2022-21917 em Extensões de Vídeo HEVC;
- CVE-2022-21912 e CVE-2022-21898 no Kernel Gráficos DirectX;
- CVE-2022-21846 no Microsoft Exchange Server;
- CVE-2022-21840 no Microsoft Office;
- CVE-2021-22947 no Open Source Curl;
- CVE-2022-21907 na pilha de protocolo HTTP.
A última parece ser a vulnerabilidade mais desagradável. Um bug na pilha do protocolo HTTP teoricamente permite que os invasores não apenas façam o computador afetado executar código arbitrário, mas também espalham o ataque pela rede local (de acordo com a terminologia da Microsoft, a vulnerabilidade é classificada como <em>wormable</em> — ou seja, pode ser usada para criar um worm). Essa vulnerabilidade é relevante para o Windows 10, Windows 11, Windows Server 2022 e Windows Server 2019. No entanto, de acordo com a Microsoft, é perigoso para usuários do Windows Server 2019 e Windows 10 versão 1809 somente se eles habilitarem o HTTP Trailer Support usando a chave EnableTrailerSupport no registro.
Especialistas também expressaram preocupação com a presença de outra vulnerabilidade séria no Microsoft Exchange Server — CVE-2022-21846 (que, aliás, não é o único bug do Exchange na lista, apenas o mais perigoso). A preocupação deles é totalmente compreensível – ninguém quer uma recorrência da onda de vulnerabilidades exploradas do Exchange, como as do ano passado.
Vulnerabilidades com Provas de conceito
Algumas das vulnerabilidades corrigidas já eram conhecidas para a comunidade de segurança. Além disso, alguém já publicou provas de conceito sobre elas:
- CVE-2022-21836 — Vulnerabilidade de falsificação de certificados do Windows;
- CVE-2022-21839 — Vulnerabilidade de negação de serviço na lista de controle de acesso discricionário de rastreamento de eventos do Windows;
- CVE-2022-21919 — Vulnerabilidade de elevação de privilégios de serviço de perfil de usuário do Windows.
Ainda não observamos ataques reais usando essas vulnerabilidades. No entanto, as provas de conceito já estão em público, então a exploração pode começar a qualquer momento.
Como ficar seguro
Primeiro, você precisa atualizar seu sistema operacional (e outros programas da Microsoft) o mais rápido possível. Em geral, é aconselhável não atrasar a instalação de patches críticos para software.
Em segundo lugar, qualquer computador ou servidor conectado à Internet deve estar equipado com uma solução de segurança confiável, capaz não apenas de impedir a exploração de vulnerabilidades conhecidas, mas também de detectar ataques com explorações ainda desconhecidas.
Nenhum comentário:
Postar um comentário