Microsoft lança correção para o Internet Explorer – de novo

Microsoft Patch Tuesday de julho: uma coleção de vulnerabilidades exploradas.

A coleção de patches de julho da Microsoft acabou sendo bastante surpreendente. Primeiro, eles estão mais uma vez resolvendo problemas no Internet Explorer, que estava aparentemente “finalizado”. Em segundo lugar, até seis vulnerabilidades já estão sendo ativamente exploradas pelos cibercriminosos. Terceiro, dessas seis, duas foram resolvidas não com patches, mas com recomendações.

Eis as estatísticas totais: 132 pontos foram resolvidos — nove dos quais são considerados críticos. A exploração de 37 vulnerabilidades que poderiam levar à execução arbitrária de código; 33 delas para ignorar recursos de segurança — sendo 13 dessas para elevação de privilégio; e 22 para, possivelmente, negação de serviço.

Por que corrigir o Internet Explorer?

Há pouco tempo, escrevemos que o Internet Explorer havia chutado o balde – mas em partes. Em particular, falamos sobre o conselho da Microsoft para continuar instalando atualizações de segurança relacionadas ao IE, já que alguns de seus componentes ainda estão no sistema. E agora fica claro o motivo desse conselho. A patch de julho soluciona até três vulnerabilidades no MSHTML, o mecanismo dentro do lendário navegador. Nas descrições do CVE, a Microsoft declara o seguinte:

Embora a Microsoft tenha anunciado a desativação do aplicativo Internet Explorer 11 em determinadas plataformas e o aplicativo Microsoft Edge Legacy tenha sido descontinuado, as bases MSHTML, EdgeHTML e as plataformas de script ainda são suportadas. A MSHTML é usada pelo modo Internet Explorer no Microsoft Edge, bem como outros aplicativos por meio do controle do WebBrowser.

A plataforma EdgeHTML é usada pelo WebView e alguns aplicativos UWP. As plataformas de script são usadas por MSHTML e EdgeHTML, mas também podem ser usadas por outros aplicativos legados. Atualizações para lidar com vulnerabilidades na plataforma MSHTML e no mecanismo de script estão incluídas nas atualizações cumulativas do IE. As alterações de EdgeHTML e Chakra não são aplicáveis ​​a essas plataformas.

Para se manter protegido, recomendamos que os clientes que instalem atualizações Security Only instalem também as patches cumulativas do IE.

A mais perigosa das vulnerabilidades recém-descobertas do IE é a CVE-2023-32046, que já está sendo usada em ataques reais. Sua exploração bem-sucedida permite que os cibercriminosos elevem seus privilégios de acesso nos sistemas da invadidos. Os cenários de ataque envolvem a criação de um arquivo malicioso enviado à vítima por correio ou hospedado em um site comprometido. Tudo o que os invasores precisam é convencer o usuário a seguir o link e abrir o arquivo.

As duas vulnerabilidades restantes — CVE-2023-35308 e CVE-2023-35336 — tendem a ser usadas para contornar os recursos de segurança. A primeira permite que um cibercriminoso crie um arquivo ignorando o mecanismo Mark-of-the-Web para que o arquivo possa ser aberto por aplicativos do Microsoft Office sem o modo de exibição protegida. E ambas as falhas podem ser usadas ​​para induzir a vítima a acessar um URL em uma zona de segurança da Internet menos restritiva do que o pretendido.

Recomendações ao invés de patches

As próximas duas vulnerabilidades também estão sendo exploradas ativamente, mas, em vez de patches completas, receberam apenas recomendações de segurança.

A primeira — CVE-2023-36884 (com classificação CVSS de 8.3) — está sendo explorada no ataque RCE Storm-0978/RomCom no Office e no Windows. Para ficar seguro, a Microsoft aconselha adicionar todos os executáveis ​​do Office à lista FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION.

O segundo problema não resolvido está relacionado à assinatura de drivers no nível do kernel. Este não possui um índice CVE, mas apenas um guia com recomendações (ADV-230001). A Microsoft revogou vários certificados de desenvolvedor usados ​​em ataques APT e bloqueou vários drivers maliciosos, mas a raiz do problema permaneceu. Os hackers ainda conseguem assinar drivers com certificados da Microsoft ou assiná-los com data anterior para fazê-los funcionar como uma das exceções e não exigir a assinatura do portal do desenvolvedor MS.

Como resposta, a Microsoft recomenda manter o Windows e o EDR atualizados. O único pequeno consolo é que, para explorar esses drivers, o invasor deve ter privilégios de administrador.

As outras vulnerabilidades exploradas

Além das vulnerabilidades mencionadas acima, existem mais três brechas que já estão sendo exploradas por cibercriminosos.

  • CVE-2023-32049 — Vulnerabilidade de by-pass do recurso de segurança SmartScreen. Sua exploração permite que invasores criem um arquivo que é aberto sem exibir o aviso do Windows “baixado da Internet”.
  • CVE-2023-36874 — vulnerabilidade de escalonamento de privilégios no serviço de relatórios de erros do Windows. Permite que invasores elevem privilégios se já tiverem permissões normais para criar pastas e arquivos de monitoramento de desempenho técnico.
  • CVE-2023-35311 — vulnerabilidade de by-pass do recurso de segurança no Outlook. Sua exploração ajuda os cibercriminosos a evitar a exibição de avisos ao usar a visualização.

Como manter seus dispositivos protegidos

Para manter os recursos corporativos seguros, recomendamos instalar as patches de segurança o mais rápido possível, bem como proteger todos os computadores e servidores em funcionamento usando soluções confiáveis que podem detectar a exploração de vulnerabilidades conhecidas e ainda não detectadas.

Dicas

Wi-Fi falso a bordo

Mesmo em altitude de cruzeiro, as ameaças cibernéticas ainda podem tornar sua vida digital turbulenta, como comprovado por uma prisão recente. Como se proteger a 30 mil pés acima do nível do mar?