Os caçadores de vulnerabilidades da Microsoft apresentaram um novo resultado de suas análises: 64 vulnerabilidades em seus diversos produtos e serviços — cinco das quais são críticas. Duas vulnerabilidades foram divulgadas publicamente antes da patch ser lançada (o que tecnicamente as tornam zero-day), e uma está sendo ativamente explorada pelos cibercriminosos. Como de costume, recomendamos instalar atualizações o quanto antes. Também falaremos brevemente sobre as vulnerabilidades que merecem atenção especial.
CVE-2022-37969, que está sendo ativamente explorada por atacantes
CVE-2022-37969 é uma vulnerabilidade de zero-day no Common Log File System driver. Este não é o bug mais perigoso do pacote de correção pela última atualização (sua classificação CVSS é de apenas 7,8), uma vez que, para tirar proveito dele, os cibercriminosos precisam ter acesso de alguma forma ao computador da vítima. No entanto, a exploração bem-sucedida permitirá que eles elevem seus privilégios ao SYSTEM. De acordo com a Microsoft, alguns hackers já estão explorando essa vulnerabilidade; portanto, deve ser corrigido a mais rápido possível.
Vulnerabilidades críticas
Todas as cinco vulnerabilidades críticas recém-corrigidas pertencem à classe de execução de código remoto (RCE); ou seja, elas podem ser usadas para executar código arbitrário em computadores de vítimas.
- CVE-2022-34718 — um bug no Windows TCP/IP com uma classificação CVSS de 9.8. Um invasor não autorizado pode usá-lo para executar código arbitrário no computador Windows atacadi com o serviço IPSec ativado enviando um pacote IPv6 especialmente criado para ele.
- CVE-2022-34721 e CVE-2022-34722 — vulnerabilidades no protocolo de transações de senhas na internet que permitem que um invasor execute códigos maliciosos, enviando também um pacote IP para uma máquina vulnerável. Ambos têm uma classificação CVSS de 9,8. Embora essas vulnerabilidades só afetem a versão do protocolo IKEv1, a Microsoft destaca que todos os sistemas do Windows Server são vulneráveis porque aceitam pacotes V1 e V2.
- CVE-2022-34700 e CVE-2022-35805 — um par de vulnerabilidades no software de gerenciamento de relacionamento com o cliente (CRM) da Microsoft Dynamics. Sua exploração permite que um usuário autenticado execute comandos SQL arbitrários, após os quais o invasor pode elevar seus direitos e executar comandos dentro do banco de dados Dynamics 365 com direitos db_owner. Como um invasor ainda precisa de alguma forma autenticar, as classificações CVSS dessas vulnerabilidades são ligeiramente menores (8,8), mas ainda são consideradas críticas.
ARM – CVE-2022-23960: uma vulnerabilidade que afeta os processadores
CVE-2022-23960 é a segunda vulnerabilidade que foi divulgada publicamente antes da patch. Teoricamente, isso poderia significar que os atacantes poderiam ter começado a usá-la antes de ser corrigida, mas não parece ter sidoo caso. Na verdade, a CVE-2022-23960 é mais uma variação da vulnerabilidade Spectre, que interfere na execução especulativa de instruções de um processador. Em outras palavras, a probabilidade de seu uso em ataques reais é extremamente pequena — o perigo é um pouco teórico. Além disso, essa vulnerabilidade só é relevante para o Windows 11 em sistemas baseados em ARM64, o que torna a brecha de segurança ainda menos prática.
Outras vulnerabilidades
Há surpreendentemente poucas vulnerabilidades “não perigosas” na atualização do Patch Tuesday de setembro — apenas uma tem uma classificação de baixa gravidade e outra tem uma classificação média. As 57 restantes, embora não tão perigosas quanto as cinco críticas acima mencionadas, ainda pertencem à categoria “importante”. Portanto, como já recomendamos no início post, é melhor atualizar seus dispositivos o quanto antes.
Mantenha-se seguro
Em primeiro lugar, você deve corrigir as vulnerabilidades já corrigidas. Além disso, recomendamos proteger todos os computadores e servidores conectados à internet com soluções de segurança equipadas com tecnologias para detecção de vulnerabilidades e prevenção de exploração. Isso ajudará a defender sua empresa contra vulnerabilidades conhecidas e desconhecidas.