No Patch Tuesday deste mês de agosto, a Microsoft corrigiu mais de uma centena de vulnerabilidades. Algumas delas exigem atenção especial das equipes de cibersegurança corporativa. Entre os problemas existem 17 críticos, sendo que dois deles são do tipo zero-days. Pelo menos uma vulnerabilidade já foi explorada ativamente, então seria sensato não atrasar a implementação do patch de correção. Não é por acaso que a agência de cibersegurança e infraestrutura dos EUA recomenda prestar atenção a esta atualização.
DogWalk (aka CVE-2022-34713) — Vulnerabilidade RCE na Ferramenta de Diagnóstico de Suporte da Microsoft
A mais perigosa das vulnerabilidades recém-solucionadas é a CVE-2022-34713. Potencialmente, ela permite a execução remota de código malicioso (pertence ao tipo RCE). CVE-2022-34713, apelidado de DogWalk, é uma vulnerabilidade na Ferramenta de Diagnóstico de Suporte da Microsoft (MSDT, na sigla em inglês), como o Follina, que fez algum hype em maio deste ano.
O problema está na forma como o sistema trata os arquivos conhecidos como Cabinet (.cab). Para explorar a vulnerabilidade, um invasor precisa atrair o usuário para abrir um arquivo malicioso, que salva o arquivo com a extensão .diagcab na pasta de inicialização do Windows, para que seu conteúdo seja executado na próxima vez que o usuário reiniciar o computador e efetuar login.
Na verdade, o DogWalk foi descoberto há dois anos, mas os desenvolvedores do sistema, por algum motivo, não prestaram atenção suficiente a esse problema. Agora a vulnerabilidade foi corrigida, mas a Microsoft já detectou sua exploração.
Outras vulnerabilidades para ficar de olho
A segunda vulnerabilidade de zero-day solucionada na última terça-feira é a CVE-2022-30134. Ela está contida no Microsoft Exchange. As informações sobre isso foram publicadas antes que a Microsoft pudesse criar o patch, mas até agora essa vulnerabilidade não foi explorada em larga escala. Teoricamente, se um invasor conseguir usar o CVE-2022-30134, ele poderá ler a correspondência de e-mail da vítima. Esta não é a única falha no Exchange que foi corrigida pelo novo patch. Ele também resolve as vulnerabilidades CVE-2022-24516, CVE-2022-21980 e CVE-2022-24477 que permitem que invasores elevem seus privilégios.
Quanto à classificação CVSS (uma espécie de escala para avaliar a gravidade das vulnerabilidades de segurança em sistema), duas vulnerabilidades relatadas são as campeãs: CVE-2022-30133 e CVE-2022-35744. Ambas foram encontradas no protocolo ponto a ponto (PPP). Ambas permitem que invasores enviem solicitações ao servidor de acesso remoto, o que pode levar à execução de código malicioso na máquina. E ambas têm a mesma pontuação CVSS: 9,8 (a escala vai de 0 a 10).
Para aqueles que por algum motivo não podem instalar patches imediatamente, a Microsoft recomenda fechar a porta 1723 (as vulnerabilidades só podem ser exploradas através dela). No entanto, esteja ciente de que isso pode interromper a estabilidade das comunicações em sua rede.
Como se manter protegido
Aconselhamos instalar novas atualizações da Microsoft o mais rápido possível e não se esqueça de verificar todas as informações na seção Perguntas frequentes, mitigações e soluções alternativas no guia de atualização relevante para sua infraestrutura.
Além disso, lembre-se que todos os computadores da empresa com acesso à Internet (sejam eles estações de trabalho ou servidores) devem estar equipados com [KESB placeholder] uma solução de cibersegurança confiável [/KESB Placeholder], capaz de protegê-los contra a exploração de vulnerabilidades ainda não detectadas.