Marcos Souza 
A Microsoft lançou na terça-feira o famoso Patch Tuesday de Outubro, patches de segurança para conter um total de 71 vulnerabilidades no Microsoft Windows e outros softwares, incluindo uma correção para uma vulnerabilidade de escalada de privilégios ativamente explorada que poderia ser explorada em conjunto com bugs de execução de código remoto para assumir o controle sobre sistemas vulneráveis.
Outubro é o mês de conscientização sobre segurança cibernética. É um ótimo momento para avaliar seu processo de priorização de gerenciamento de vulnerabilidades. O gerenciamento de vulnerabilidades é sempre uma área de preocupação, pois novas vulnerabilidades estão sendo constantemente descobertas. A gravidade do fornecedor e as pontuações de CVSS muitas vezes não explicam o risco do mundo real.
Duas das falhas de segurança abordadas são classificadas como Críticas, 68 são classificadas como Importante, e uma é classificada como Baixa em gravidade, com três dos problemas listados como conhecidos publicamente no momento da liberação. Os quatro dias zero são os seguintes —
- CVE-2021-40449 (pontuação cvss: 7.8) – Win32k Elevação da Vulnerabilidade do Privilégio
- CVE-2021-41335 (pontuação CVSS: 7.8) – Elevação do Kernel do Windows de vulnerabilidade de privilégio
- CVE-2021-40469 (pontuação CVSS: 7.2) – Vulnerabilidade de execução remota do código remoto do servidor do Windows DNS
- CVE-2021-41338 (pontuação cvss: 5.5) – Windows AppContainer Firewall Rules Security Feature Bypass Vulnerabilidade
No topo da lista está o CVE-2021-40449, uma vulnerabilidade sem uso no kernel driver Win32k descoberto pela Kaspersky como sendo explorado na natureza no final de agosto e início de setembro de 2021 como parte de uma campanha de espionagem generalizada direcionada a empresas de TI, empreiteiros de defesa e entidades diplomáticas. A empresa russa de cibersegurança chamou o cluster de ameaças de “MysterySnail”.
“A similaridade do código e o reuso da infraestrutura C2 [comando e controle] que descobrimos nos permitiu conectar esses ataques com o ator conhecido como IronHusky e a atividade APT de língua chinesa que remonta a 2012”, disseram os pesquisadores da Kaspersky Boris Larin e Costin Raiu em uma gravação técnica, com as cadeias de infecção levando à implantação de um trojan de acesso remoto capaz de coletar e exfiltrar informações do sistema de hosts comprometidos antes de chegar ao seu servidor C2 fo r instruções adicionais.
Outros bugs de nota incluem vulnerabilidades de execução de código remoto que afetam o Microsoft Exchange Server (CVE-2021-26427),Windows Hyper-V(CVE-2021-38672 e CVE-2021-40461),SharePoint Server (CVE-2 021-40487 e CVE-2021-41344), e Microsoft Word(CVE-2021-40486), bem como uma falha de divulgação de informações no Rich Text Edit Control(CVE-2021-40454).
O CVE-2021-26427, que tem uma pontuação cvss de 9.0 e foi identificado pela Agência de Segurança Nacional dos EUA, ressalta que “os servidores de intercâmbio são alvos de alto valor para hackers que procuram penetrar em redes de negócios”, disse Bharat Jogi, gerente sênior de pesquisa de vulnerabilidades e ameaças da Qualys.
O Patch Tuesday de Outubro é arredondado por correções para duas deficiências recém-descobertas no componente Print Spooler — CVE-2021-41332 e CVE-2021-36970 — cada uma relativa a um bug de divulgação de informações e uma vulnerabilidade de falsificação, que foi marcada com uma avaliação do índice de exploração “Exploração Mais Provável”.
“Uma vulnerabilidade de falsificação geralmente indica que um invasor pode se passar ou se identificar como outro usuário”, observou o pesquisador de segurança em um thread do Twitter. “Neste caso, parece que um invasor pode abusar do serviço Spooler para carregar arquivos arbitrários para outros servidores.”
Patches de software de outros fornecedores
Além da Microsoft, patches também foram lançados por vários outros fornecedores para lidar com várias vulnerabilidades, incluindo —
- Adobe
- Andróide
- Maçã
- Cisco
- Citrix
- Inteligência
- Distribuições Linux Oracle Linux, Red Hate SUSE
- SEIVA
- Schneider Elétrica
- Siemens, e
- VMware
