A Microsoft lançou esta semana patches de segurança para conter um total de 71 vulnerabilidades no Microsoft Windows e outros softwares, incluindo uma correção para uma vulnerabilidade de aumento de privilégios, explorada ativamente, que pode ser explorada em conjunto com bugs de execução remota de código para assumir o controle de sistemas vulneráveis.
Duas das falhas de segurança abordadas foram classificadas como Críticas, 68 foram classificadas como importantes e uma foi classificada como baixa em gravidade, com três dos problemas listados como publicamente conhecidos no momento do lançamento. Os quatro dias zero são os seguintes:
CVE-2021-40449 (pontuação CVSS: 7,8) – Vulnerabilidade de elevação de privilégio do Win32k
CVE-2021-41335 (pontuação CVSS: 7,8) – Vulnerabilidade de elevação de privilégio do kernel do Windows
CVE-2021-40469 (pontuação CVSS: 7,2) – Vulnerabilidade de execução remota de código do Windows DNS Server
CVE-2021-41338 (pontuação CVSS: 5.5) – Vulnerabilidade de desvio de recurso de segurança de regras de firewall do Windows AppContainer
No topo da lista está CVE-2021-40449, uma vulnerabilidade use-after-free no driver do kernel Win32k descoberta pela Kaspersky como sendo explorada no final de agosto e início de setembro de 2021 como parte de uma ampla campanha de espionagem visando TI empresas, empreiteiros de defesa e entidades diplomáticas. A empresa russa de segurança cibernética apelidou o cluster de ameaças de “MysterySnail”.
“Similaridade de código e reutilização da infraestrutura C2 [comando e controle] que descobrimos nos permitiu conectar esses ataques com o ator conhecido como IronHusky e atividade APT de língua chinesa que remonta a 2012”, pesquisadores da Kaspersky Boris Larin e Costin Raiu disse em um artigo técnico, com as cadeias de infecção levando à implantação de um trojan de acesso remoto capaz de coletar e exfiltrar informações do sistema de hosts comprometidos antes de entrar em contato com seu servidor C2 para obter mais instruções.
Outros bugs dignos de nota incluem vulnerabilidades de execução remota de código que afetam Microsoft Exchange Server (CVE-2021-26427), Windows Hyper-V (CVE-2021-38672 e CVE-2021-40461), SharePoint Server (CVE-2021-40487 e CVE- 2021-41344) e Microsoft Word (CVE-2021-40486), bem como uma falha de divulgação de informações no controle de edição de Rich Text (CVE-2021-40454).
CVE-2021-26427, que tem uma pontuação CVSS de 9,0 e foi identificado pela Agência de Segurança Nacional dos EUA, ressalta que “os servidores Exchange são alvos de alto valor para hackers que procuram penetrar em redes de negócios”, Bharat Jogi, gerente sênior de vulnerabilidade e pesquisa de ameaças na Qualys, disse.
A atualização desta semana é complementada por correções para duas deficiências recém-descobertas no componente Spooler de impressão – CVE-2021-41332 e CVE-2021-36970 – cada uma relacionada a um bug de divulgação de informações e uma vulnerabilidade de falsificação, que foi marcada com um ” Exploração mais provável “avaliação do índice de explorabilidade.
“Uma vulnerabilidade de spoofing geralmente indica que um invasor pode se passar por outro usuário ou se identificar”, observou o pesquisador de segurança ollypwn em um tópico do Twitter. “Nesse caso, parece que um invasor pode abusar do serviço Spooler para fazer upload de arquivos arbitrários para outros servidores.”
Patches de software de outros fornecedores
Além da Microsoft, os patches também foram lançados por vários outros fornecedores para resolver várias vulnerabilidades.