Η Microsoft lançou atualizações de segurança para o mês de abril de 2024 para corrigir um recorde 149 defeitos , dois dos quais foram explorados ativamente na natureza.
Dos 149 defeitos, três são classificados como Críticos, 142 são classificados como Importantes, três são classificados como Moderados e um é classificado como Baixa Gravidade. A atualização está fora de questão 21 vulnerabilidades enfrentado pela empresa em seu navegador Edge baseado em Chromium após o lançamento de de março, terça-feira, 2024, correções de patch .
As duas deficiências que foram exploradas ativamente são as seguintes –
- CVE-2024-26234 (Pontuação CVSS: 6,7) – Vulnerabilidade de falsificação de driver proxy
- CVE-2024-29988 (Pontuação CVSS: 8,8) – Os recursos de segurança do SmartScreen Prompt contornam a vulnerabilidade
Embora o comunicado da Microsoft não forneça informações sobre o CVE-2024-26234, a empresa cibernéticasegurançaA Sophos disse que descobriu em dezembro de 2023 um executável malicioso (“Catalog.exe” ou “Catalog Authentication Client Service”) que é assinado de um editor válido de compatibilidade de hardware do Microsoft Windows ( WHCP ) certificado.
A análise Authenticode do binário revelou o editor solicitante original à Hainan YouHu Technology Co. Ltd, que também é editora de outra ferramenta chamada LaiXi Android Screen Mirroring.
Este último é descrito como “um software de marketing… [que] pode conectar centenas de telefones celulares e controlá-los em lotes e automatizar tarefas como seguir grupos, curtir e comentar”.
Dentro do suposto serviço de autenticação existe um componente chamado 3proxy que é projetado para monitorar e interceptar o tráfego de rede em um sistema infectado, agindo efetivamente como um backdoor.
“Não temos evidências que sugiram que os desenvolvedores do LaiXi integraram intencionalmente o arquivo malicioso em seu produto, ou que um agente de ameaça conduziu um ataque à cadeia de suprimentos para injetá-lo no processo de construção/construção do aplicativo LaiXi”, disse Pesquisador da Sophos, Andreas Klopsch. .
A empresa de segurança cibernética também disse que descobriu várias outras variantes do backdoor em circulação até 5 de janeiro de 2023, indicando que a campanha está em andamento pelo menos desde então. Desde então, a Microsoft adicionou os arquivos relevantes à sua lista de recall.
“Para explorar esta vulnerabilidade de desvio de recurso de segurança, um invasor teria que convencer um usuário a lançar arquivos maliciosos usando um iniciador que solicita que nenhuma interface de usuário seja exibida”, disse a Microsoft.
“Em um cenário de ataque por e-mail ou mensagens instantâneas, um invasor pode enviar ao usuário alvo um arquivo especialmente criado para explorar a vulnerabilidade de execução remota de código”.
A Iniciativa Dia Zero revelado que há evidências de exploração da falha em estado selvagem, embora a Microsoft a tenha sinalizado com uma classificação de “Exploração Mais Provável”.
Outra questão importante é a vulnerabilidade CVE-2024-29990 (pontuação CVSS: 9.0), uma falha de elevação de privilégio que afeta o Microsoft Azure Kubernetes Service Container Confidential que pode ser explorada por invasores não autenticados para roubar credenciais.
“Um invasor pode acessar o nó não confiável do AKS Kubernetes e o AKS Confidential Container para assumir o controle de convidados e contêineres confidenciais além da pilha de rede aos quais eles podem estar vinculados”, disse Redmond.
No geral, o lançamento é notável por abordar até 68 execuções remotas de código, 31 escalonamento de privilégios, 26 desvios de recursos de segurança e seis bugs de negação de serviço (DoS). Curiosamente, 24 dos 26 erros de desvio de segurança estão relacionados à inicialização segura.
“Embora nenhuma dessas vulnerabilidades seguro Bota abordados neste mês não foram explorados, eles servem como um lembrete de que falhas no Secure Boot ainda existem e poderemos ver mais atividades maliciosas relacionadas ao Secure Boot no futuro”, disse Satnam Narang, engenheiro sênior de pesquisa da Tenable, em uma afirmação.
A revelação ocorre no momento em que a Microsoft enfrentar críticas sobre suas práticas de segurança, com um relatório recente do Board of Review Segurança cibernética(CSRB) criticando a empresa por não fazer o suficiente para evitar uma campanha de espionagem cibernética orquestrada por um ator de ameaça chinês identificado como Storm. -0558 no ano passado.
Também segue a decisão da empresa de publicar dados de causa raiz para falhas de segurança usando o padrão da indústria Common Weakness Enumeration (CWE). No entanto, é importante notar que as alterações só se aplicam a partir dos comunicados publicados a partir de março de 2024.
“Adicionar avaliações CWE ao aconselhamento de segurança da Microsoft ajuda a identificar a causa raiz geral de uma vulnerabilidade”, disse Adam Barnett, engenheiro-chefe de software da Rapid7, em comunicado compartilhado com o The Hacker News.
“O programa CWE atualizou recentemente suas orientações sobre mapeando CVEs para uma causa raiz CWE . A análise das tendências do CWE pode ajudar os desenvolvedores a reduzir ocorrências futuras por meio de fluxos de trabalho e testes aprimorados do ciclo de vida de desenvolvimento de software (SDLC), bem como ajudar os defensores a entender para onde direcionar os esforços de defesa em profundidade e fortalecer o desenvolvimento para melhor retorno do investimento".
Num desenvolvimento relacionado, a empresa de segurança cibernética Varonis expôs dois métodos que os atacantes poderiam adotar para contornar os registos de auditoria e evitar o desencadeamento de eventos de download ao exportar ficheiros do SharePoint.
A primeira abordagem aproveita o recurso “Open in App” do SharePoint para acessar e baixar arquivos, enquanto a segunda usa o agente de usuário do Microsoft SkyDriveSync para baixar arquivos ou até mesmo sites inteiros, classificando erroneamente tais eventos como sincronizações de arquivos em vez de downloads.
“Essas técnicas podem contornar as políticas de detecção e aplicação de ferramentas tradicionais, como corretores de segurança de acesso à nuvem, prevenção contra perda de dados e SIEMs, disfarçando os downloads como eventos de acesso e sincronização menos suspeitos”, ele disse Érico Saraga.
Correções de software de terceiros
Além da Microsoft, atualizações de segurança também foram lançadas por outros fornecedores nas últimas semanas para corrigir diversas vulnerabilidades, incluindo:
- adobe
- AMD
- Android
- Segurança Apache XML para C++
- Aruba Networks
- Atos
- Bosch
- Cisco
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- fortra
- GitLab
- Google Chrome
- Parceria
- Google Pixel
- Hikvision
- Energia Hitachi
- HP
- HPE Enterprise
- HTTP / 2
- IBM
- Ivanta
- Jenkins
- Lenovo
- LG web OS
- Distribuições Linux Debian, Oracle Linux, Red Hat, SUSE e Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR e Thunderbird
- NETGEAR
- NVIDIA
- Qualcomm
- Rockwell Automation
- Ferrugem
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- VMware
- WordPress
- Zoom
