{"id":21548,"date":"2023-07-18T16:45:07","date_gmt":"2023-07-18T19:45:07","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21548"},"modified":"2023-07-18T16:45:07","modified_gmt":"2023-07-18T19:45:07","slug":"microsoft-patch-tuesday-july-2023","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/microsoft-patch-tuesday-july-2023\/21548\/","title":{"rendered":"Microsoft lan\u00e7a corre\u00e7\u00e3o para o Internet Explorer \u2013 de novo"},"content":{"rendered":"

A cole\u00e7\u00e3o de patches de julho da Microsoft acabou sendo bastante surpreendente. Primeiro, eles est\u00e3o mais uma vez resolvendo problemas no Internet Explorer, que estava aparentemente \u201cfinalizado\u201d. Em segundo lugar, at\u00e9 seis vulnerabilidades j\u00e1 est\u00e3o sendo ativamente exploradas pelos cibercriminosos. Terceiro, dessas seis, duas foram resolvidas n\u00e3o com patches, mas com recomenda\u00e7\u00f5es<\/em>.<\/p>\n

Eis as estat\u00edsticas totais: 132 pontos foram resolvidos \u2014 nove dos quais s\u00e3o considerados cr\u00edticos. A explora\u00e7\u00e3o de 37 vulnerabilidades que poderiam levar \u00e0 execu\u00e7\u00e3o arbitr\u00e1ria de c\u00f3digo; 33 delas para ignorar recursos de seguran\u00e7a \u2014 sendo 13 dessas para eleva\u00e7\u00e3o de privil\u00e9gio; e 22 para, possivelmente, nega\u00e7\u00e3o de servi\u00e7o.<\/p>\n

Por que corrigir o Internet Explorer?<\/h2>\n

H\u00e1 pouco tempo, escrevemos<\/a> que o Internet Explorer havia chutado o balde \u2013 mas em partes. Em particular, falamos sobre o conselho da Microsoft para continuar instalando atualiza\u00e7\u00f5es de seguran\u00e7a relacionadas ao IE, j\u00e1 que alguns de seus componentes ainda est\u00e3o no sistema. E agora fica claro o motivo desse conselho. A patch de julho soluciona at\u00e9 tr\u00eas vulnerabilidades no MSHTML, o mecanismo dentro do lend\u00e1rio navegador. Nas descri\u00e7\u00f5es do CVE, a Microsoft declara o seguinte:<\/p>\n

\n

Embora a Microsoft tenha anunciado a desativa\u00e7\u00e3o do aplicativo Internet Explorer 11 em determinadas plataformas e o aplicativo Microsoft Edge Legacy tenha sido descontinuado, as bases MSHTML, EdgeHTML e as plataformas de script ainda s\u00e3o suportadas. A MSHTML \u00e9 usada pelo modo Internet Explorer no Microsoft Edge, bem como outros aplicativos por meio do controle do WebBrowser.<\/p>\n

A plataforma EdgeHTML \u00e9 usada pelo WebView e alguns aplicativos UWP. As plataformas de script s\u00e3o usadas por MSHTML e EdgeHTML, mas tamb\u00e9m podem ser usadas por outros aplicativos legados. Atualiza\u00e7\u00f5es para lidar com vulnerabilidades na plataforma MSHTML e no mecanismo de script est\u00e3o inclu\u00eddas nas atualiza\u00e7\u00f5es cumulativas do IE. As altera\u00e7\u00f5es de EdgeHTML e Chakra n\u00e3o s\u00e3o aplic\u00e1veis \u200b\u200ba essas plataformas.<\/p>\n

Para se manter protegido, recomendamos que os clientes que instalem atualiza\u00e7\u00f5es Security Only instalem tamb\u00e9m as patches cumulativas do IE.<\/p>\n<\/div>\n

A mais perigosa das vulnerabilidades rec\u00e9m-descobertas do IE \u00e9 a CVE-2023-32046<\/a>, que j\u00e1 est\u00e1 sendo usada em ataques reais. Sua explora\u00e7\u00e3o bem-sucedida permite que os cibercriminosos elevem seus privil\u00e9gios de acesso nos sistemas da invadidos. Os cen\u00e1rios de ataque envolvem a cria\u00e7\u00e3o de um arquivo malicioso enviado \u00e0 v\u00edtima por correio ou hospedado em um site comprometido. Tudo o que os invasores precisam \u00e9 convencer o usu\u00e1rio a seguir o link e abrir o arquivo.<\/p>\n

As duas vulnerabilidades restantes \u2014 CVE-2023-35308<\/a> e CVE-2023-35336<\/a> \u2014 tendem a ser usadas para contornar os recursos de seguran\u00e7a. A primeira permite que um cibercriminoso crie um arquivo ignorando o mecanismo Mark-of-the-Web para que o arquivo possa ser aberto por aplicativos do Microsoft Office sem o modo de exibi\u00e7\u00e3o protegida. E ambas as falhas podem ser usadas \u200b\u200bpara induzir a v\u00edtima a acessar um URL em uma zona de seguran\u00e7a da Internet menos restritiva do que o pretendido.<\/p>\n

Recomenda\u00e7\u00f5es ao inv\u00e9s de patches<\/h2>\n

As pr\u00f3ximas duas vulnerabilidades tamb\u00e9m est\u00e3o sendo exploradas ativamente, mas, em vez de patches completas, receberam apenas recomenda\u00e7\u00f5es<\/em> de seguran\u00e7a.<\/p>\n

A primeira \u2014 CVE-2023-36884<\/a> (com classifica\u00e7\u00e3o CVSS de 8.3) \u2014 est\u00e1 sendo explorada no ataque RCE Storm-0978\/RomCom<\/a> no Office e no Windows. Para ficar seguro, a Microsoft aconselha adicionar todos os execut\u00e1veis \u200b\u200bdo Office \u00e0 lista FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION.<\/p>\n

O segundo problema n\u00e3o resolvido est\u00e1 relacionado \u00e0 assinatura de drivers no n\u00edvel do kernel. Este n\u00e3o possui um \u00edndice CVE, mas apenas um guia com recomenda\u00e7\u00f5es (ADV-230001<\/a>). A Microsoft revogou v\u00e1rios certificados de desenvolvedor usados \u200b\u200bem ataques APT<\/a> e bloqueou v\u00e1rios drivers maliciosos, mas a raiz do problema permaneceu. Os hackers ainda conseguem assinar drivers com certificados da Microsoft ou assin\u00e1-los com data anterior para faz\u00ea-los funcionar como uma das exce\u00e7\u00f5es e n\u00e3o exigir a assinatura do portal do desenvolvedor MS.<\/p>\n

Como resposta, a Microsoft recomenda manter o Windows e o EDR atualizados. O \u00fanico pequeno consolo \u00e9 que, para explorar esses drivers, o invasor deve ter privil\u00e9gios de administrador.<\/p>\n

As outras vulnerabilidades exploradas<\/h2>\n

Al\u00e9m das vulnerabilidades mencionadas acima, existem mais tr\u00eas brechas que j\u00e1 est\u00e3o sendo exploradas por cibercriminosos.<\/p>\n