Patch Tuesday da Microsoft de novembro de 2019 aborda 74 falhas, incluindo uma vulnerabilidade do Internet Explorer, identificada como CVE-2019-1429, que foi explorada in-the-wild.
A Microsoft não fornece nenhuma informação sobre a natureza dos ataques ativos, apenas apontou que eles provavelmente estão contidos neste momento.
O dia zero do CVE-2019-1429 é uma vulnerabilidade de corrupção de memória que afeta o Internet Explorer 9, 10 e 11.
“A remote code execution vulnerability exists in the way that the scripting engine handles objects in memory in Internet Explorer. The vulnerability could corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user.” read the security advisory published by Microsoft. “If the current user is logged on with administrative user rights, an attacker who successfully exploited the vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.”
A vulnerabilidade pode ser explorada por um invasor com a finalidade de executar código arbitrário no contexto do utilizador atual, induzindo as vítimas a visitar um website especialmente criado com um web-browser vulnerável do IE ou a abrir um documento malicioso do Office.
“In a web-based attack scenario, an attacker could host a specially crafted website that is designed to exploit the vulnerability through Internet Explorer and then convince a user to view the website. An attacker could also embed an ActiveX control marked “safe for initialization” in an application or Microsoft Office document that hosts the IE rendering engine.” continues the advisory “The attacker could also take advantage of compromised websites and websites that accept or host user-provided content or advertisements. These websites could contain specially crafted content that could exploit the vulnerability.”
A Microsoft resolveu a falha modificando como o mecanismo de script lida com objetos na memória. A empresa não identificou soluções alternativas ou fatores atenuantes para esse problema.
A Microsoft creditou Ivan Fratric, do Google Project Zero, Clément Lecigne, do Threat Analysis Group, um investigador anónimo do iDefense Labs e Resecurity, por relatarem o problema.
Em detalhe, as atualizações do Patch Tuesday da Microsoft de novembro de 2019 abordaram problemas de segurança no Microsoft Windows, Internet Explorer (IE), Microsoft Edge (baseado em EdgeHTML), ChakraCore, Office e Office Services e Web Apps, software de código aberto, Exchange Server e Visual Studio.
Dessas 74 CVEs endereçadas pela Microsoft, 13 são classificadas como críticas e 61 são classificadas como importantes em gravidade. 15 vulnerabilidades foram relatadas através do programa ZDI.
A Microsoft também abordou uma vulnerabilidade de execução remota de código, identificada como CVE-2019-1373, no Microsoft Exchange. A vulnerabilidade reside na desserialização de metadados via PowerShell. Um invasor pode explorar essa vulnerabilidade enganando as vítimas para que executem cmdlets por meio do PowerShell.
“While this may be an unlikely scenario, it only takes one user to compromise the server. If that user has administrative privileges, they could hand over complete control to the attacker.” reads a post published by ZDI.
Outras vulnerabilidades críticas abordadas pela Microsoft afetam o Windows, Internet Explorer e Hyper-V.
“Looking through the Critical-rated patches, the updates for Hyper-V stand out the most. Five separate code execution bugs receive patches this month, and each could allow a user on the guest OS to execute code on the underlying host OS,” ZDI concludes.