Patch agora: Bug crítico do Kerberos do Windows ignora a segurança da Microsoft

A Microsoft aliviou as equipes de segurança corporativa até 2024 com uma atualização de segurança relativamente leve de janeiro, que consiste em patches para 48 CVEs exclusivos, apenas dois dos quais a empresa identificou como sendo de gravidade crítica.

Pelo segundo mês consecutivo, o Patch Tuesday da Microsoft não incluiu nenhum bug de dia zero, o que significa que os administradores não terão que enfrentar nenhuma nova vulnerabilidade que os invasores estejam explorando ativamente no momento – algo que aconteceu com frequência em 2023.

Apenas dois bugs críticos de gravidade

Como é normalmente o caso, os CVEs que Microsoft divulgou em 9 de janeiro afetou uma ampla gama de seus produtos e incluiu vulnerabilidades de escalonamento de privilégios, falhas de execução remota de código, bugs de desvio de segurança e outras vulnerabilidades. A empresa classificou 46 das falhas como sendo de gravidade Importante, incluindo várias que os invasores provavelmente explorariam.

Um dos dois bugs críticos de gravidade na atualização mais recente da Microsoft é CVE-2024-20674, um recurso de segurança do Windows Kerberos que contorna a vulnerabilidade que permite que invasores contornem mecanismos de autenticação e iniciem ataques de representação. “Os invasores podem explorar essa falha por meio de um ataque machine-in-the-middle (MitM)”, disse Saeed Abbasi, gerente de pesquisa de vulnerabilidades da Qualys, em comentários ao Dark Reading. “Eles conseguem isso configurando um cenário de falsificação de rede local e, em seguida, enviando mensagens Kerberos maliciosas para enganar uma máquina cliente, fazendo-a acreditar que está se comunicando com um servidor de autenticação Kerberos legítimo.”

A vulnerabilidade exige que o invasor tenha acesso à mesma rede local do alvo. Não pode ser explorado remotamente pela Internet e requer proximidade com a rede interna. Mesmo assim, há uma grande probabilidade de tentativas activas de exploração num futuro próximo, diz Abbasi.

Ken Breen, diretor sênior de pesquisa de ameaças da Immersive Labs, identificou CVE-2024-20674 como um bug que as organizações fariam bem em corrigir rapidamente. “Esses tipos de vetores de ataque são sempre valiosos para agentes de ameaças, como operadores de ransomware e corretores de acesso”, porque permitem acesso significativo a redes corporativas, de acordo com um comunicado de Breen.

A outra vulnerabilidade crítica no último lote de atualizações de segurança da Microsoft é CVE-2024-20700, uma vulnerabilidade de execução remota de código na tecnologia de hipervirtualização do Windows. A vulnerabilidade não é especialmente fácil de explorar porque, para fazê-lo, um invasor já precisaria primeiro estar dentro da rede e adjacente a um computador vulnerável, de acordo com uma declaração de Ben McCarthy, engenheiro-chefe de segurança cibernética da Immersive Labs.

A vulnerabilidade também envolve uma condição de corrida – um tipo de problema que é mais difícil de ser explorado por um invasor do que muitos outros tipos de vulnerabilidade. “Essa vulnerabilidade foi divulgada como uma exploração menos provável, mas como o Hyper-V é executado com os privilégios mais altos em um computador, vale a pena pensar em corrigir”, disse McCarthy.

Bugs de execução remota de código de alta prioridade

Os pesquisadores de segurança apontaram dois outros bugs do RCE na atualização de janeiro que merecem atenção prioritária: CVE-2024-21307 no cliente de área de trabalho remota do Windows e CVE-2024-21318 no SharePoint Server.

A Microsoft identificou o CVE-2024-21307 como uma vulnerabilidade que os invasores têm maior probabilidade de explorar, mas forneceu poucas informações sobre o motivo, de acordo com Breen. A empresa observou que invasores não autorizados precisam esperar que um usuário inicie uma conexão para poder explorar a vulnerabilidade.  

“Isso significa que os invasores precisam criar um servidor RDP malicioso e usar técnicas de engenharia social para induzir o usuário a se conectar”, disse Breen. “Isso não é tão difícil quanto parece, já que servidores RDP maliciosos são relativamente fáceis de serem configurados pelos invasores e, em seguida, enviar anexos .rdp em e-mails significa que o usuário só precisa abrir o anexo para acionar a exploração.”

Mais alguns bugs de escalonamento de privilégios exploráveis

A atualização de janeiro da Microsoft incluiu patches para diversas vulnerabilidades de escalonamento de privilégios. Entre os mais graves deles está o CVE-2023-21310, um bug de escalonamento de privilégios no driver de minifiltro de arquivos em nuvem do Windows. A falha é muito semelhante a CVE-2023-36036, uma vulnerabilidade de escalonamento de privilégios de dia zero na mesma tecnologia, que a Microsoft divulgou em seu Atualização de segurança de novembro de 2023.

Os invasores exploraram ativamente essa falha para tentar obter privilégios de nível de sistema em máquinas locais – algo que eles também podem fazer com a vulnerabilidade recentemente divulgada. “Esse tipo de etapa de escalonamento de privilégios é frequentemente vista por agentes de ameaças em comprometimentos de rede”, disse Breen. “Isso pode permitir que o invasor desabilite ferramentas de segurança ou execute ferramentas de despejo de credenciais como o Mimikatz, que podem então permitir o movimento lateral ou o comprometimento de contas de domínio.”

Alguns dos outros bugs importantes de escalonamento de privilégios incluídos CVE-2024-20653 no sistema de arquivos de log comum do Windows, CVE-2024-20698 no kernel do Windows, CVE-2024-20683 no Win32k, e CVE-2024-20686 no Win32k. A Microsoft classificou todas essas falhas como problemas que os invasores têm maior probabilidade de explorar, de acordo com uma declaração de Satnam Narang, engenheiro sênior de pesquisa da Tenable. “Esses bugs são comumente usados ​​como parte da atividade pós-comprometimento”, disse ele. “Isto é, assim que os invasores obtiverem uma posição inicial nos sistemas.”

Entre as falhas que a Microsoft classificou como importantes, mas que precisam de atenção rápida, está CVE-2024-0056, um recurso de desvio de segurança no SQL, diz Abbasi. A falha permite que um invasor execute um ataque machine-in-the-middle, interceptando e potencialmente alterando o tráfego TLS entre um cliente e um servidor, observa ele. “Se explorado, um invasor pode descriptografar, ler ou modificar o tráfego TLS seguro, violando a confidencialidade e integridade dos dados.” Abbasi diz que um invasor também pode aproveitar a falha para explorar o SQL Server por meio do SQL Data Provider.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/ics-ot-security/critical-windows-kerberos-bug-microsoft-security-bypass