Patch Tuesday de Janeiro: a lista de atualizações inclui correções para Internet Explorer, área de trabalho remota e erros criptográficos

 

Editado em 17/01 às 18h: Leia o comunicado oficial da Trend Micro sobre o CVE-2020-0601.

2020 começa com uma lista relativamente pesada de patches para usuários da Microsoft. Janeiro é normalmente um mês leve para correções, mas a Microsoft lançou patches para 49 vulnerabilidades (oito das quais são críticas e as restantes classificadas como importantes) neste ciclo. Atualmente, nenhuma dessas vulnerabilidades está sob ataque.

As vulnerabilidades listadas cobriam uma variedade de produtos da Microsoft, incluindo servidores Windows RDP Gateway, Internet Explorer, ASP.NET, CryptoAPI, .NET Framework, Hyper-V, Office, Excel e OneDrive.

Este também é o mês em que a Microsoft interrompe seu suporte estendido ao Windows 7, o que significa que os usuários deste sistema operacional não receberão mais atualizações de software ou boletins de segurança. Isso deixará os usuários do Windows 7 vulneráveis ​​a futuros riscos de segurança e malware.

Aqui está uma visão mais detalhada das vulnerabilidades abordadas em janeiro:

 

Vulnerabilidades de Remote Desktop Code Execution / negação de serviço

CVE-2020-0609 e CVE-2020-0610 são vulnerabilidades críticas de RCE no servidor de gateway RDP. Se abusado com êxito, um invasor pode executar código arbitrário no servidor RDP afetado. CVE-2020-0611 é uma vulnerabilidade RCE que existe no Windows Remote Desktop Client, normalmente utilizada quando um usuário se conecta a um servidor mal-intencionado. A exploração bem-sucedida dessa vulnerabilidade pode permitir que um invasor execute código arbitrário no dispositivo do alvo.

Enquanto isso, o CVE-2020-0612 é uma vulnerabilidade de negação de serviço que também afeta os servidores Windows RDP Gateway. Um invasor pode se conectar a um servidor de destino vulnerável usando o RDP e enviar solicitações especialmente criadas. Se executado com êxito, isso poderá fazer com que o serviço RDP no sistema de destino pare de responder.

 

Vulnerabilidade de corrupção de memória do Internet Explorer

CVE-2020-0640 é outra vulnerabilidade crítica do RCE, desta vez no Internet Explorer. A falha permite acesso inadequado a objetos na memória. Um invasor pode usar essa falha para executar o código como o usuário atual; portanto, se a vítima visada estiver conectada com direitos administrativos, o invasor poderá aproveitar isso para obter o controle do sistema.

 

Vulnerabilidade de falsificação do Windows CryptoAPI

A biblioteca Windows CryptoAPI fornece funcionalidade criptográfica para o próprio Windows e aplicativos. O CVE-2020-0601 é uma falha nesta biblioteca que, em certas situações, pode levar um invasor a ignorar o processo de autenticação, permitindo que objetos maliciosos (conexões de rede, arquivos, e-mails e executáveis) pareçam ter sido assinados por uma parte legítima. Foi descoberto e divulgado à Microsoft pela Agência de Segurança Nacional (NSA), e a organização também publicou um relatório mais detalhado sobre a vulnerabilidade.

A falha está na maneira como o Windows autentica certificados com certas curvas elípticas. Está presente apenas no Windows 10 e no Windows Server 2016/2019.

 

Vulnerabilidade de negação de serviço principal do ASP.NET

CVE-2020-0602 é uma vulnerabilidade no ASP.NET Core, uma estrutura da web livre e de código aberto. O bug pode levar a ataques de negação de serviço devido à maneira como as solicitações especialmente criadas são tratadas.

Além das vulnerabilidades específicas listadas acima, também havia vários problemas com o Windows Search Indexer que poderiam levar à elevação de privilégio para um agente – 12 vulnerabilidades diferentes foram corrigidas, todas classificadas como Importante.

 

Soluções Trend Micro

Para solucionar os problemas de segurança causados ​​pela conclusão do suporte dos fabricantes, soluções como o Trend Micro™ Deep Security™ oferecem proteção automatizada líder para proteger aplicações e workloads nos sistemas de suporte novos e legados. O virtual patching do Deep Security protege automaticamente os sistemas contra novas ameaças e vulnerabilidades, minimizando interrupções e garantindo que seus aplicativos críticos e dados corporativos sigilosos permaneçam protegidos.

Recomenda-se que os usuários com instalações afetadas priorizem as atualizações para evitar possível exploração do sistema por meio de vulnerabilidades não corrigidas. As soluções Trend Micro™ Deep Security™ e Vulnerability Protection também protegem sistemas e usuários contra ameaças direcionadas às vulnerabilidades incluídas no Patch Tuesday deste mês, atualizando ou criando regras para solucionar as vulnerabilidades aplicáveis ​​encontradas. As seguintes regras foram liberadas para cobrir as vulnerabilidades apropriadas:

  • 1010124-Microsoft SharePoint Information Disclosure Vulnerability (CVE-2019-1443)
  • 1010125-Microsoft Windows RDP Gateway Server Remote Code Execution Vulnerabilities (CVE-2020-0609 and CVE-2020-0610)
  • 1010127-Microsoft Office Stack-Based Buffer Overflow Remote Code Execution Vulnerability (CVE-2020-0652)

Os clientes de Trend Micro™ TippingPoint® estão protegidos contra ameaças e ataques que podem explorar algumas das vulnerabilidades corrigidas este mês através dos seguintes filtros MainlineDV:

  • 33692: HTTP: Microsoft SharePoint EntityInstanceIdEncoder Insecure Deserialization Vuln (ZDI-19-181)
  • 36696: HTTP: Microsoft Office Graph Buffer Overflow Vulnerability
  • 36882: UDP: Microsoft Remote Desktop Gateway Code Execution Vulnerability
  • 36883: UDP: Microsoft Remote Desktop Gateway Out-of-Bounds Write Vulnerability
  • 36918: HTTP: Microsoft SharePoint Information Disclosure Vulnerability