Os patches da Microsoft exploraram ativamente zero-day (CVE-2021-36948), mais falhas do Print Spooler

22

O Patch Tuesday de agosto de 2021 da Microsoft é bastante leve, por meio dele cobre uma grande variedade de soluções microsoft. 44 falhas de segurança numeradas cve foram plugadas, sete das quais são críticas e uma é ativamente explorada (CVE-2021-36948).

Vulnerabilidades fixas da nota

Vamos começar com o dia zero. CVE-2021-36948 é uma vulnerabilidade no Serviço médico do Windows Update que pode ser explorada pelos invasores para aumentar privilégios em um sistema comprometido (e usá-los indevidamente para fazer coisas como criar contas de usuário, excluir seus rastros e assim por diante). Afeta várias versões do Windows 10 e do Windows Server.

A Microsoft diz que suas equipes de pesquisa de segurança a viram sendo ativamente explorada, embora não compartilhassem detalhes sobre o ataque.

A empresa corrigiu três bugs do Windows Print

Spooler: um “crítico”(CVE-2021-36936) e dois “importantes”(CVE-2021-34483CVE-2021-36947).

Publicações Relacionadas

“CVE-2021-36947 e CVE-2021-36936 são classificados como “Exploração Mais Provável”, de acordo com o Índice de Exploração da Microsoft. O CVE-2021-36936 também é identificado como sendo divulgado publicamente, o que implica que esta é uma das vulnerabilidades adicionais que os pesquisadores descobriram desde que o PrintNightmare foi divulgado pela primeira vez. Devido à natureza onipresente do Windows Print Spooler dentro das redes, as organizações devem priorizar corrigir essas falhas o mais rápido possível”, aconselhou Satnam Narang, engenheiro de pesquisa da Tenable.

Kevin Breen, diretor de pesquisa de ameaças cibernéticas da Immersive Labs, diz que o CVE-2021-36942, uma vulnerabilidade de spoofing do Windows LSA, é interessante.

“Ele corrige uma falha que pode ser usada para roubar hashes NTLM de um controlador de domínio ou de outro host vulnerável. Esses tipos de ataques são bem conhecidos pelo movimento lateral e pela escalada de privilégios, como foi demonstrado recentemente por uma nova exploração chamada PetitPotam. É uma exploração pós-intrusão – mais abaixo da cadeia de ataque – mas ainda é uma ferramenta útil para os atacantes”, observou.

“A Microsoft lançou este patch para proteger ainda mais contra ataques de relé NTLM, emitindo esta atualização para bloquear a interface LSARPC. Isso afetará alguns sistemas, notadamente o Windows Server 2008 SP2, que usam a função EFS API OpenEncryptedFileRawA”, explicou Dustin Childs, da Trend Micro’s Zero Day Initiative.

“Você deve aplicar isso em seus Controladores de Domínio primeiro e seguir as orientações adicionais em ADV210003 e KB5005413. Este tem sido um problema em andamento desde 2009, e, provavelmente, este não é o último que ouviremos sobre essa questão persistente.”

O CVE-2021-34535 é uma falha crítica de RCE no Cliente de Desktop Remoto que não deve ser ignorada, acrescentou Childs e explicou: “Um invasor pode assumir um sistema se conseguir convencer um cliente RDP afetado a se conectar a um servidor RDP que eles controlam. Em servidores Hyper-V, um programa malicioso em execução em um VM convidado poderia acionar o RCE de hóspedes para host, explorando essa vulnerabilidade no Hyper-V Viewer. Este é o cenário mais provável e a razão pela qual você deve testar e implantar este patch rapidamente.”

você pode gostar também