A Microsoft está encorajando os utilizadores a resolver uma falha de segurança de dia zero conhecida como Dogwalk, que está a ser ativamente explorada. O defeito (CVE-2022-34713) está relacionado a uma ferramenta de suporte de diagnóstico do Microsoft Windows e possibilita que um invasor remoto execute código em um sistema vulnerável.
O comunicado é parte de uma extensa atualização lançada na terça-feira, chamada de August Patch, que abordou 121 vulnerabilidades, sendo 17 delas consideradas críticas e 101 avaliadas como importantes de acordo com o Common Vulnerability Scoring System.
Segundo Dustin Childs, gerente da Iniciativa Zero Day, o número de correções lançadas este mês é muito maior do que o habitual para um lançamento em agosto. É quase três vezes maior do que o lançamento de agosto do ano passado e é o segundo maior deste ano.
Dogwalk Flaw tinha ultrapassado os dois anos de idade.
O bug Dogwalk, que estava sendo ativamente explorado, foi inicialmente comunicado à Microsoft em janeiro de 2020 por Imre Rad. No entanto, foi somente quando outro pesquisador começou a acompanhar a exploração de uma vulnerabilidade chamada Follina (CVE-2022-30190) que o bug Dogwalk foi redescoberto. Esse novo interesse em Dogwalk parece ter levado a Microsoft a incluir uma correção na atualização deste mês, conforme relatado por um resumo da Tenable Patch na terça-feira.
A Microsoft identificou a CVE-2022-34713 como uma versão modificada do Dogwalk, porém com distinções. A empresa classificou a vulnerabilidade como importante e alertou que apenas um adversário com acesso físico ao computador vulnerável poderia explorar o bug. Por outro lado, especialistas da Zero Day Initiative indicam a possibilidade de um ataque remoto.
Childs escreveu que existe um aspecto de engenharia social envolvido, já que um indivíduo que representa uma ameaça precisa persuadir um usuário a clicar em um link ou abrir um documento.
A Microsoft caracteriza um potencial ataque como sendo de baixa complexidade, o que indica que pode ser facilmente explorado e não necessita de privilégios avançados do sistema para ser executado.
“Childs mencionou que esse erro possibilita a ativação de código ao chamar o MSDT por meio do protocolo URL de um aplicativo, como o Microsoft Word. Não está claro se essa falha de segurança é decorrente de uma atualização mal-sucedida ou de algo inédito.”
17 Críticas Afiadas
A vulnerabilidade mais séria corrigida na terça-feira envolve três vulnerabilidades de aumento de privilégios no Microsoft Exchange Server que poderiam ser exploradas por atacantes. A Microsoft criou uma página de alerta específica para essa falha para auxiliar na redução dos riscos.
De acordo com a Tenable, as três vulnerabilidades requerem autenticação e interação do usuário para serem exploradas. Isso significa que um atacante deve convencer um alvo a acessar um servidor Exchange modificado, geralmente por meio de phishing.
Retornar ao patch de terça-feira destaca uma vulnerabilidade crítica (CVE-2022-35804) no protocolo de comunicação SMB da Microsoft, presente em sistemas Windows 11 que utilizam o SMB 3.1.1 (SMBv3). A Microsoft classificou o problema como de alta probabilidade de exploração e atribuiu uma gravidade 8.8 a essa falha.
A vulnerabilidade só afeta o Windows 11, de acordo com a Zero Day Initiative, e parece estar relacionada a uma nova funcionalidade introduzida. Os pesquisadores afirmam que o problema no SMB pode permitir a propagação entre os sistemas afetados do Windows 11, desde que o servidor SMB esteja ativado.
Childs recomendou que, embora desativar a compressão SMBv3 possa ser uma solução para o problema, a aplicação da atualização é a melhor forma de corrigir a vulnerabilidade.
Classificada com uma gravidade entre 8,5 e 9,8, a Microsoft resolveu uma vulnerabilidade de execução remota de código (CVE-2022-34715) em seu sistema de arquivos de rede Windows. Este é o quarto mês seguido em que a Microsoft lançou um patch crítico para execução de código NFS. Embora a Microsoft tenha classificado a falha como importante, pesquisadores a consideram crítica e recomendam que seja corrigida com prioridade.
Para investigar essa questão, um invasor remoto e não autenticado teria que fazer uma chamada especificamente manipulada para um servidor NFS vulnerável. Isso permitiria ao atacante executar código com privilégios elevados. A Microsoft classifica isso como uma ameaça importante, porém, se estiver utilizando NFS, é recomendado considerar como uma ameaça crítica. A Zero Day Initiative aconselha testar e implementar essa correção rapidamente.
Em outras notícias, a Adobe solucionou 25 CVEs na terça-feira, corrigindo falhas encontradas no Adobe Acrobat e Reader, Commerce, Illustrator, FrameMaker e Adobe Premier Elements.
Divulgue este artigo.
- Fragilidades ou pontos fracos.
