As atualizações do Microsoft Patch Tuesday abordam 61 vulnerabilidades, de entre os sistemas afetados estão o Internet Explorer (IE), o Edge, o ChakraCore, o Azure, o Hyper-V, os componentes do Windows, o .NET Framework, o SQL Server e o Microsoft Office e Office Services.
17 falhas são classificadas como críticas, 43 são consideradas importantes e apenas uma é classificada como moderada.
As atualizações do Microsoft Patch Tuesday de setembro de 2018 incluem a falha do dia zero recentemente divulgada por um investigador via Twitter.
O investigador não endereçou a vulnerabilidade à Microsoft antes da divulgação pública, forçando a gigante tecnológica a preparar rapidamente um remendo.
O problema está relacionado a uma vulnerabilidade de escalonamento de privilégios que afeta o Scheduler de Tarefas do Windows, que pode ser explorado por um atacante local ou por um programa mal-intencionado de forma a poder obter privilégios do sistema vulnerável.
A vulnerabilidade, identificada como CVE-2018-8440, foi explorada logo após sua divulgação pública por um threat actor em ataques selvagens.
As atualizações do Microsoft Patch Tuesday também abordaram três vulnerabilidades que foram tornadas públicas antes que os patches serem lançados, mas em contraste com a falha CVE-2018-8440, elas não foram exploradas em ataques.
A falha de Execução de Código Remoto do Windows CVE-2018-8475, classificada como crítica, existe porque o sistema operativo não manipula adequadamente os ficheirosde imagem. Um atacante poderia explorar a falha de forma a executar código arbitrário enganando assim as vítimas para que estas descarregassem um ficheiro de imagem especialmente criado para a atividade fraudulenta.
“A remote code execution vulnerability exists when Windows does not properly handle specially crafted image files. An attacker who successfully exploited the vulnerability could execute arbitrary code.” reads the advisorypublished by Microsoft.
“To exploit the vulnerability, an attacker would have to convince a user to download an image file. The update addresses the vulnerability by properly handling image files.”
É muito provavel que surgam novos exploits nas próximas semanas.
“This CVE could allow an attacker to execute code on a target system just by convincing someone to view an image. That’s all the user interaction needed. Open the wrong image – even through a web browser – and codeexecutes, making this a browse-and-own scenario.” reads a blog post published by Trend Micro’s Zero Day Initiative (ZDI).
“Microsoft provides no information on where this is public, but given the severity of the issue and the relative ease of exploitation, expect this one to find its way into exploit kits quickly,”
Outro problema anteriormente divulgado e abordado pelas atualizações do Microsoft Patch Tuesday é o CVE-2018-8457.
A vulnerabilidade afeta o navegador web da Microsoft e pode ser explorada por um invasor de maneira a executar código arbitrário enganando as vítimas para que visitem um website mal-intencionado ou abram um documento do Office malicioso.
“A remote code execution vulnerability exists in the way the scripting engine handles objects in memory in Microsoft browsers. The vulnerability could corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. If the current user is logged on with administrative user rights, an attacker who successfully exploited the vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.” reads the advisory published by Microsoft.
“In a web-based attack scenario, an attacker could host a specially crafted website designed to exploit the vulnerability through a Microsoft browser and then convince a user to view the website. An attacker could also embed an ActiveX control marked “safe for initialization” in an application or Microsoft Office document that hosts the browser rendering engine.”
A terceira vulnerabilidade divulgada publicamente é uma falha de negação de serviço (DoS) (CVE-2018-8409) classificada como “importante” que afeta o .NET Core, o ASP.NET Core e o componente System.IO.Pipelines.
A denial of service vulnerability exists when System.IO.Pipelines improperly handles requests. An attacker who successfully exploited this vulnerability could cause a denial of service against an application that is leveraging System.IO.Pipelines. The vulnerability can be exploited remotely, without authentication.” reads the advisory.
“A remote unauthenticated attacker could exploit this vulnerability by providing specially crafted requests to the application.”
A Microsoft também corrigiu as falhas CVE-2018-0965 e CVE-2018-8439 no Windows Hyper-V, ambas podendo ser exploradas por um invasor com acesso a uma máquina virtual convidada para executar código no sistema operativo subjacente.