Na última terça-feira, a Microsoft revelou duas vulnerabilidades de segurança ativamente exploradas, afetando o protocolo NT LAN Manager (NTLM) e o Agendador de Tarefas no sistema Windows. Essas falhas fazem parte das 90 vulnerabilidades corrigidas no Patch Tuesday de novembro de 2024. Dessas, quatro foram classificadas como críticas, 85 como importantes e uma como moderada. Entre os problemas corrigidos, 52 são falhas de execução remota de código.
As correções incluem vulnerabilidades previamente resolvidas em 31 pontos críticos no navegador Edge, desde a atualização de outubro. Os dois pontos que estão sob exploração ativa são os seguintes:
CVE-2024-43451 (pontuação CVSS: 6,5) – Vulnerabilidade de Falsificação de Divulgação de Hash NTLM do Windows: Essa falha permite que um invasor obtenha o hash NTLMv2 de um usuário, o que pode ser utilizado para se autenticar como essa pessoa. A Microsoft credita o pesquisador Israel Yeshurun, da ClearSky, pela descoberta. Vale ressaltar que esta é a terceira falha no ano explorada em campo com potencial de revelar o hash NTLMv2 de usuários, seguindo a CVE 2024-21410 e CVE 2024-38021, demonstrando o interesse persistente dos invasores por explorações zero-day que possam expor credenciais e facilitar a movimentação lateral dentro de redes.
CVE-2024-49039 (pontuação CVSS: 8,8) – Vulnerabilidade de Elevação de Privilégio no Agendador de Tarefas do Windows: Essa falha permite que invasores executem funções RPC restritas a contas privilegiadas, com a condição de que o atacante já tenha acesso autenticado ao sistema. A exploração envolve a execução de um aplicativo especialmente projetado para elevar privilégios até um nível de Integridade Médio. Os pesquisadores Vlad Stolyarov e Bahare Sabouri, do Google TAG, e um pesquisador anônimo foram creditados por relatar essa vulnerabilidade. Essa descoberta sugere a possibilidade de envolvimento de grupos APT (Ameaça Persistente Avançada) ou alinhados a estados-nação.
Outras Vulnerabilidades Críticas de Destaque
Entre as vulnerabilidades críticas, a CVE-2024-43498, com uma pontuação CVSS de 9,8, merece atenção especial. Essa falha de execução remota de código afeta o .NET e o Visual Studio, permitindo que atacantes não autenticados enviem solicitações ou carreguem arquivos maliciosos em aplicações vulneráveis, seja por meio de um aplicativo web .NET ou de um app desktop vulnerável.
Outro destaque é a CVE-2024-43639 (pontuação CVSS: 9,8), uma falha no protocolo Kerberos, permitindo a execução remota de código. Exploradores podem abusar dessa vulnerabilidade sem autenticação, representando um risco significativo para ambientes corporativos que dependem de autenticação segura para controlar o acesso à rede.
Vulnerabilidade em OpenSSL
A atualização inclui ainda a correção para uma vulnerabilidade de execução remota de código no OpenSSL (CVE-2024-5535, pontuação CVSS: 9,1). Essa falha, que foi inicialmente corrigida em junho, permite que atacantes enviem um link malicioso por e-mail ou mensagem instantânea, convencendo o usuário a clicar para que o código seja executado. Em um cenário de ataque via email, o invasor pode enviar um email especialmente formatado que aciona a execução remota sem que o destinatário precise interagir com o conteúdo.
Inovação no Relatório de Vulnerabilidades
Coincidindo com esta atualização, a Microsoft anunciou sua adesão ao padrão Common Security Advisory Framework (CSAF) para divulgação de vulnerabilidades em formato legível por máquinas, com o objetivo de agilizar a resposta e remediação de ameaças. Isso permite maior transparência sobre as vulnerabilidades que afetam não só produtos da Microsoft, mas também softwares de código aberto embutidos em suas soluções.
Além da Microsoft, diversas outras empresas também lançaram atualizações de segurança nas últimas semanas, incluindo Adobe, Cisco, Google, Intel, VMware, entre outras, cobrindo desde falhas em dispositivos de rede até sistemas operacionais e softwares de produtividade.
Quer amadurecer seu programa de segurança cibernética? Conheça a EcoTrust, uma plataforma CAASM (Cyber Asset Attack Surface Management) que transforma riscos cibernéticos em respostas confiáveis. Agende uma demo aqui
Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.