A Microsoft encerrou o ciclo de atualizações do Patch Tuesday de dezembro de 2024 corrigindo 72 vulnerabilidades em seu portfólio de softwares. Entre elas, 17 foram classificadas como Críticas, 54 como Importantes e uma como Moderada. Essas atualizações incluem 31 falhas de execução remota de código (RCE) e 27 falhas que permitem a elevação de privilégios. Entre as mais críticas, destaca-se uma vulnerabilidade no driver Windows Common Log File System (CLFS), que está sendo explorada ativamente.
Vulnerabilidade Explorada Ativamente: CVE-2024-49138
A falha CVE-2024-49138, com pontuação CVSS de 7.8, é uma vulnerabilidade de elevação de privilégio no CLFS. Caso explorada com sucesso, permite que atacantes obtenham privilégios de SYSTEM, o que possibilita a execução de código arbitrário e o comprometimento completo do sistema. A falha foi identificada e reportada pela empresa de cibersegurança CrowdStrike.
Essa é a quinta vulnerabilidade explorada ativamente no CLFS desde 2022, após as falhas CVE-2022-24521, CVE-2022-37969, CVE-2023-23376 e CVE-2023-28252, todas com a mesma pontuação CVSS de 7.8. Além disso, é a nona vulnerabilidade no componente CLFS corrigida apenas em 2024, demonstrando que o driver continua sendo um vetor atrativo para atacantes.
Ameaças no Driver CLFS e Uso por Operadores de Ransomware
Segundo Satnam Narang, engenheiro sênior de pesquisa na Tenable, operadores de ransomware têm explorado falhas de elevação de privilégio no CLFS para movimentar-se lateralmente em redes, roubar dados e realizar extorsões. “Diferente de grupos de ameaças persistentes avançadas, que agem com precisão e paciência, operadores de ransomware usam táticas de ataque rápidas e destrutivas. O CLFS tem sido uma porta de entrada frequente para essas atividades”, destacou Narang.
Mitigação da Microsoft para o CLFS
A Microsoft está implementando novas medidas de segurança para mitigar riscos no CLFS. Em agosto de 2024, a empresa anunciou uma etapa de verificação adicional no processamento de arquivos de log, utilizando HMACs (Hash-based Message Authentication Codes) para detectar alterações não autorizadas. Isso reforça a integridade dos arquivos de log contra manipulações externas.
A vulnerabilidade CVE-2024-49138 foi adicionada ao catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA. Órgãos do governo federal dos EUA devem aplicar os patches até 31 de dezembro de 2024.
Vulnerabilidade de Maior Severidade: CVE-2024-49112
Entre as falhas corrigidas, a de maior severidade é a CVE-2024-49112, uma vulnerabilidade de execução remota de código no Windows Lightweight Directory Access Protocol (LDAP), com pontuação CVSS de 9.8. Ela permite que atacantes não autenticados enviem chamadas LDAP maliciosas e executem código arbitrário no contexto do serviço LDAP.
Outras Vulnerabilidades Relevantes
Também se destacam falhas de execução remota de código como:
- CVE-2024-49117: Impacta o Windows Hyper-V (CVSS 8.8).
- CVE-2024-49105: Afeta o Cliente de Área de Trabalho Remota (CVSS 8.4).
- CVE-2024-49063: Presente no aplicativo Microsoft Muzic (CVSS 8.4).
Atualizações no NTLM e Proteções de Autenticação
Além das correções, a Microsoft continua avançando na substituição do NTLM (NT LAN Manager) por protocolos mais seguros, como o Kerberos, e ativou por padrão a Proteção Estendida para Autenticação (EPA) em serviços como Exchange Server, Active Directory Certificate Services (AD CS) e LDAP. Essas mudanças visam mitigar ataques de relay e pass-the-hash.
A empresa planeja desativar o NTLM em futuras atualizações, começando pelo Windows Server 2025 e o Windows 11 24H2, reforçando sua postura “segura por padrão”.
Atualizações de Outros Fornecedores
Além da Microsoft, outros fornecedores de software também lançaram patches nas últimas semanas para corrigir vulnerabilidades em seus produtos. Essas atualizações são importantes para proteger ambientes contra ameaças emergentes e exploradas ativamente.
Quer amadurecer seu programa de segurança cibernética? Conheça a EcoTrust, uma plataforma CAASM (Cyber Asset Attack Surface Management) que transforma riscos cibernéticos em respostas confiáveis. Agende uma demo aqui
Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.