A Microsoft está pedindo aos usuários do Windows que atualizem seus sistemas imediatamente após confirmar quatro novas vulnerabilidades de dia zero como parte do patch de segurança de novembro. Entre mais de 90 problemas de segurança relatados, dois destes dias zero estão a ser ativamente explorados, representando riscos significativos para os utilizadores.
Compreendendo as vulnerabilidades de dia zero
A Microsoft tem uma perspectiva única sobre o que constitui uma ameaça de dia zero, considerando tanto as vulnerabilidades que são divulgadas publicamente como as que estão ativamente sob ataque. Conforme destacado no lançamento do Patch Tuesday de novembro de 2024, duas das quatro vulnerabilidades identificadas estão sendo exploradas.
CVE-2024-43451 é particularmente notável; é uma vulnerabilidade de falsificação de divulgação de hash do NT LAN Manager que pode expor o protocolo de autenticação NTLM. De acordo com Ryan Braunstein, líder da equipe de operações de segurança da Automox, a falha requer interação do usuário para ser explorada. Especificamente, os usuários precisam abrir um arquivo criado enviado por meio de tentativas de phishing para que o ataque seja bem-sucedido. Quando comprometida, esta vulnerabilidade permite que invasores se autentiquem potencialmente como usuário devido à divulgação de hashing NTLM, que se destina a proteger senhas.
Por outro lado, CVE-2024-49039 é uma vulnerabilidade de elevação de privilégio do Agendador de Tarefas do Windows. Henry Smith, engenheiro de segurança sênior da Automox, observou que essa falha explora funções de Chamada de Procedimento Remoto, permitindo que um invasor eleve seus privilégios após obter acesso inicial a um sistema Windows. A aplicação de patches continua sendo a defesa mais confiável contra essas vulnerabilidades, especialmente porque o código de exploração funcional já está circulando por aí.
Vulnerabilidades críticas avaliadas em gravidade 9,8
Somando-se ao alarme, duas vulnerabilidades foram classificadas como 9,8 no Common Vulnerability Scoring System, indicando seu impacto potencial. CVE-2024-43498 afeta aplicativos da web .NET, permitindo que invasores remotos não autenticados explorem o aplicativo por meio de solicitações maliciosas. Enquanto isso, o CVE-2024-43639 tem como alvo o Windows Kerberos, permitindo que invasores não autorizados executem código por meio dos mesmos vetores não autenticados.
O foco principal, no entanto, deve ser direcionado a duas vulnerabilidades de segurança classificadas como críticas 9,8 na escala de gravidade do impacto, de acordo com Tyler Reguly, diretor associado de pesquisa e desenvolvimento de segurança da Fortra. “Embora o Sistema Comum de Pontuação de Vulnerabilidade não seja um indicador de risco”, Reguly disse“pontuações de 9,8 geralmente indicam onde está o problema”.
Dada a gravidade destas vulnerabilidades, a Microsoft sublinha a importância de aplicar atualizações de segurança, especialmente para utilizadores que operam Windows, Office, SQL Server, Exchange Server, .NET e Visual Studio. Chris Goettl, vice-presidente de gerenciamento de produtos de segurança da Ivanti, observou que a correção deve ser uma prioridade devido à natureza conhecida e explorada ativamente dessas vulnerabilidades.
Rastreando ataques e vulnerabilidades recentes
As preocupações da Microsoft são reforçadas pelos recentes incidentes em que hackers russos exploraram vulnerabilidades nos seus sistemas para ataques direcionados especificamente a entidades ucranianas. Isto destaca as implicações mais amplas destas vulnerabilidades, além de meros problemas de software. Os pesquisadores de segurança da ClearSky relataram que a vulnerabilidade de divulgação de hash NTLM (CVE-2024-43451) estava sendo utilizada para roubar hashes NTLMv2 por meio de esquemas de phishing, desencadeando uma sequência que permitiu que invasores obtivessem acesso remoto a sistemas comprometidos.
Ao usar hiperlinks criados em e-mails de phishing, os invasores forçaram os usuários a interagir com arquivos maliciosos, ativando a vulnerabilidade que se conecta a um servidor controlado pelo invasor. Isto sublinha a necessidade premente de os utilizadores permanecerem vigilantes e reportarem comunicações suspeitas.
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou CVE-2024-43451 ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas, exigindo que as organizações protejam seus sistemas vulneráveis até o início de dezembro. Como afirmou a CISA, tais vulnerabilidades servem frequentemente como vectores de ataque para actores cibernéticos mal-intencionados e representam grandes riscos, particularmente dentro de redes federais.
Armados com o conhecimento dessas vulnerabilidades, os usuários são incentivados a agir prontamente. O Patch Tuesday de novembro da Microsoft é uma etapa necessária para mitigar os riscos associados às falhas recém-descobertas. À medida que os ambientes de trabalho híbridos continuam a confundir os limites da segurança cibernética, aderir às melhores práticas e garantir atualizações oportunas pode reduzir drasticamente a exposição a ameaças potenciais.
Crédito da imagem em destaque: Windows/Unsplash
