Apenas um dia antes do 10º aniversário do Pwn2Own, junte-se a nós para analisar os patches lançadas pela Google, Adobe, VMWare, Firefox e Microsoft para o mês de março de 2017. Ao que parece essa será a maior Terça-Feira das Correções da história, então é bem apropriado que coincida com o maior Pwn2Own.
Atualização do Google Chrome de Março de 2017
A equipe do Chrome lançou a versão 57.0.2987.98 na quinta-feira, 9 de março, para corrigir erros nove de alta gravidade do navegador, além de alguns bugs de gravidade média e alguns outros ajustes. O mais grave desses problemas – pelo menos com base no preço – envolve uma corrupção da memória no mecanismo V8 JavaScript. Anteriormente, a Google também disse que iria depreciar o uso do algoritmo SHA-1 na versão 56, mas não houve anúncios de que o algoritmo teria sido atualizado. Surpreendentemente, eles lançaram a versão 58.0.3029.12 no dia seguinte com mais ajustes de segurança. O pessoal Mountain View disse que mais informações sobre o Chrome serão publicadas através do blog “Chrome” e “ Chromium “. Esperamos obter mais detalhes então.
Avisos de Segurança da VMware em Março de 2017
À frente da sua inclusão na Pwn2Own 2017, o pessoal da VMware lançou várias atualizações em março. A mais recente atualização corrige um problema de execução remota de código no Apache Struts 2 da Horizon Desktop as-a-Service Platform (DaaS), VMware vCenter Server (vCenter), vRealize Operations Manager (vROps), e vRealize Hyperic Server (Hyperic). Uma outra atualização na VMware Workstation e Fusion corrige uma vulnerabilidade de acesso à memória fora dos limites. Ambas foram classificadas como Críticas e foram lançadas com apenas alguns dias de diferença. Uma outra atualização classificada como importante para VMware Workstation corrige vários problemas de segurança, incluindo um problema de carregamento do de DLL e uma des-referência de ponteiro nulo.
O VMware não faz correções em escala regular como alguns fornecedores, por isso é interessante ver eles lançando uma enxurrada de patches. Embora a inclusão do VMware no Pwn2Own possa não ser o motivo por trás desses patches, temos certeza que isso foi um incentivo extra para o lançamento dessas correções.
Atualização Mozilla Firefox de Março 2017
A atualização do Firefox de março trata de 28 CVEs, sete dos quais estão listados como Críticos. O pior desses bugs pode permitir a execução remota de código se um usuário navegar por um site malicioso. A execução de código iria ocorrer no nível de usuário logado, mais um lembrete para trabalhar como um usuário não-admin durante as atividades diárias.
Patches da Microsoft para Março de 2017
A Microsoft não conseguiu lançar nenhuma atualização em fevereiro e não explicaram exatamente o motivo para isso. Junte isso ao fato que foram poucas atualizações em janeiro e o resultado é a maior terça-feira de patch na história da Microsoft. Há 17 atualizações tratando de 135 CVEs (mais o boletim para Flash, que trata de mais sete CVEs). Oito destas atualizações são classificados como críticas e nove são classificadas como importantes. As versões de IE e GDI tiveram os CVEs listados como sob ataque ativo. Sete dessas atualizações incluem CVEs que são de conhecimento público:
- IE (CVE-2017-0008, -0012, -0033, -0037, -0154)
- Edge (CVE-2017-0012, -0033, -0037, -0065, -0069)
- Hyper-V (CVE-2017-0097)
- SMB (CVE-2017-0143)
- Windows (CVE-2017-0016)
- Office (CVE-2017-0014)
- Kernel (CVE-2017-0050)
Em uma observação interessante, a Microsoft havia afirmado anteriormente que a partir de hoje, os boletins de segurança já não ficariam disponíveis fora do “Guia de Atualização de Segurança. ” No entanto, o padrão de links com resumo mensal para os boletins individuais foi mantido. Será interessante ver como isso vai evoluir ao longo do tempo. Acreditamos que a Microsoft continua a facilitar o ato de digerir esta informação vital em várias formas. Até então, vamos analisar em profundidade as atualizações de segurança para março.
MS17-006 – Internet Explorer (Crítica)
Este boletim trata de 12 vulnerabilidades, das quais cinco são conhecidas publicamente e uma está sob ataque ativo. Essa provavelmente deve ser a prioridade para a maioria das empresas e consumidores. O IE é amplamente implantado e ataques ativos tendem a ser generalizados. A CVE sob ataque é listada como “corrupção de memória”, o que geralmente significa um bug de use-após-liberado (UAF).
MS17-007 – Edge (Crítica)
Este boletim trata de 32 vulnerabilidades, das quais cinco são conhecidas publicamente, mas de acordo com as informações não estão sob ataque ativo. Esta é uma das raras vezes em que o navegador Edge tem mais bugs sendo corrigidos do que o IE. Mais de 20 dos CVEs receberam uma classificação de Exploit Index (XI) 1, o que significa que Microsoft indica que a exploração é mais provável para estes problemas. A Microsoft reuniu muitas melhorias de segurança no Edge, mas claramente os problemas continuam ocorrendo.
MS17-008 – Hyper-V (Crítica)
Este boletim trata de 11 vulnerabilidades, das quais uma é conhecida publicamente, mas de acordo com as informações não estão sob ataque ativo. No pior dos casos este bug permitiria que alguém acessasse o sistema operacional de convidado para executar um código no sistema operacional hospedeiro. Na verdade, temos esse cenário como uma categoria no Pwn2Own deste ano. Você pode receber esta atualização mesmo que o Hyper-V não esteja habilitado, tendo em vista que, de acordo com o boletim, “a atualização é aplicável a todos os produtos e versões suportadas que contêm o código vulnerável”.
MS17-009 – Windows PDF Viewer (Crítica)
Este boletim trata de um bug crítico, que também é discutido no boletim do Edge. Ambas as atualizações serão necessárias para uma proteção total, mas podem ser aplicadas em qualquer ordem.
MS17-010 – SMB Server (Crítica)
Este boletim trata de 6 vulnerabilidades, das quais uma é conhecida publicamente, mas de acordo com as informações não estão sob ataque ativo. Todos estes problemas dependem do SMBv1, que realmente deve ser desativado de seus sistemas.
MS17-011 – Uniscribe (Crítica)
Este boletim trata 29 vulnerabilidades, nenhuma das quais são conhecidas publicamente. Apenas oito destes problemas são listados como execução remota de código (RCE) e todos têm classificações mais baixas de XI. Se você quer priorizar o seu teste, pode colocar esses itens no final da sua lista.
MS17-012 – Windows (Crítica)
Este boletim trata de um bug Crítico e cinco erros Importantes em uma verdadeira miscelânea de componentes do Windows. Uma correção para CVE-2017-0016 está inclusa nesta atualização, que foi divulgada publicamente em fevereiro. Embora a Microsoft não mostre isso como sendo explorada, há relatórios dizendo o contrário.
MS17-013 – Componentes Gráficos (Crítica)
Este boletim trata de 12 vulnerabilidades, das quais uma é foi reportada como sob ataque ativo. Falhas no GDI e GDI+ o tornam alvos atraentes, então não é de se surpreender que os atacantes usem esses bugs. Embora esse patch não corrija o bug GDI divulgado publicamente pela Google, o CVE sob ataque é um problema diferente.
MS17-014 – Office (Importante)
Este boletim trata de 12 vulnerabilidades, das quais uma é conhecida publicamente, mas de acordo com as informações não estão sob ataque ativo. Embora você possa se sentir tentado a não aplicar esse patch, lembre-se que os aplicativos Office são amplamente usados como alvo e muitas vezes usados em ataques de ransomware.
MS17-015– Exchange Server (Importante)
Este boletim aborda uma vulnerabilidade relatada em particular no Exchange Server 2013. Apesar do bug afetar o Outlook Web Access (OWA), este é outro caso em que esperar pode ser prudente. As correções no Exchange têm um histórico ruim no que se refere a qualidade.
MS17-016 – Windows IIS (Importante)
Este boletim aborda uma vulnerabilidade relatada em particular em todas as versões com suporte do Microsoft Windows. Esta é uma questão simples de cross-site scripting (XSS), mas não ignore isso se estiver executando o IIS.
MS17-017 – Windows Kernel (Importante)
Este boletim trata de 4 vulnerabilidades, das quais uma é conhecida publicamente, mas de acordo com as informações não estão sob ataque ativo. Os erros de kernel são fatores fundamentais para muitos escapes de sandbox – um destaque de muitos exploits de Pwn2Own. Será interessante ver se algum dos competidores do Pwn2Own vai sofrer por causa desse patch.
MS17-018 – Windows Kernel-Mode Drivers (Importante)
Este boletim aborda oito vulnerabilidades de elevação de privilégio (EOP), nenhuma das quais foi relatada como conhecida publicamente. Similar aos bugs do kernel, os bugs do KMD são muitas vezes vistos em escapes de sandbox.
MS17-019 – Active Directory Federation Services (Importante)
Este boletim aborda uma vulnerabilidade relatada em particular em todas as versões com suporte do servidor Windows. Tendo em vista que este é um problema de divulgação de informação, um invasor precisaria combinar isso com algo mais para realmente criar um problema.
MS17-020 – Windows DVD Maker (Importante)
Este boletim aborda uma vulnerabilidade relatada em particular em todos os Windows Vista e Windows 7. Tal como acontece com os ADFS, esta é apenas uma questão divulgação de Informação.
MS17-021 – DirectShow (Importante)
Este boletim aborda uma vulnerabilidade relatada em particular em todas as versões com suporte do Microsoft Windows. Outra questão de divulgação de informações que requer uma ação do usuário, como visitar um site.
MS17-022 – Core XML Services (Importante)
Este boletim aborda uma vulnerabilidade do XML Core Service 3.0 relatada em particular em todas as versões com suporte do Microsoft Windows. Esta é a última questão de divulgação de informação em março.
O boletim final para o mês é a atualização de repackage do Adobe Flash da Microsoft, detalhada abaixo.
Patches da Adobe em Março de 2017
Para este mês, a Adobe lançou duas correções críticas, no Flash Player e no Shockwave Player. A atualização do Flash corrige sete AVCs, sendo que o pior destes poderia permitir a execução remota do código se o usuário visualizar um conteúdo especialmente com uma versão afetada do Flash. Nenhuma destas estão listadas como sob ataque ativo. A atualização do Shockwave trata de apenas um CVE e está listada como Importante em termos de gravidade. A correção trata de um problema no caminho do diretório de pesquisa usado para encontrar recursos que podem permitir uma intensificação de privilégio.
O Futuro
A próxima Terça-Feira de patches cairá no dia 11 de abril e estaremos de volta com detalhes e análises.