O mês de março chegou e com ele o mais novo Patch Tuesday. O que isso significa? Novas atualizações de segurança recentes da Adobe e da Microsoft!
Patches do Adobe para esse mês
Este mês, a Adobe lançou apenas três patches abordando seis CVEs no Adobe Photoshop, Illustrator e After Effects. O patch para o After Effects é o maior dos três, corrigindo quatro estouros de buffer baseados em pilha com classificação Crítica que podem resultar na execução de código arbitrário. A correção para o Illustrator também é classificada como Crítica. Ele aborda um único estouro de buffer que pode levar à execução arbitrária de código. Por fim, a atualização do Photoshop corrige um único vazamento de memória com classificação Importante.
Patches da Microsoft para esse mês
Para este mês, a Microsoft lançou 71 novos patches abordando CVEs no Microsoft Windows e componentes do Windows, Azure Site Recovery, Microsoft Defender for Endpoint e IoT, Intune, Edge (baseado no Chromium), Plataformas HTML do Windows, Office e componentes do Office, Skype para Chrome, .NET e Visual Studio, Windows RDP, SMB Server e Xbox. Isso se soma aos 21 CVEs corrigidos pelo Microsoft Edge (baseado no Chromium) no início deste mês, o que eleva o total de março para 92 CVEs.
Dos 71 CVEs lançados, três são Críticos e 68 são Importantes em gravidade. Um total de sete desses bugs veio através do programa ZDI. No entanto, o número de patches com classificação Crítica é baixo para esse número de bugs.
Nenhum dos bugs está listado como exploração Ativa, enquanto três estão listados como conhecidos publicamente até o presente momento.
Os bugs listados como conhecidos publicamente:
– CVE-2022-23277 – Microsoft Exchange Server Remote Code Execution Vulnerability
Bug de classificação crítica no Exchange Server. A vulnerabilidade permitiria que um invasor autenticado executasse seu código com privilégios elevados por meio de uma chamada de rede.
– CVE-2022-21990 – Remote Desktop Client Remote Code Execution Vulnerability
Se um invasor puder atrair um cliente RDP afetado para se conectar ao servidor RDP, poderá acionar a execução de código no cliente de destino.
– CVE-2022-21967 – Xbox Live Auth Manager for Windows Elevation of Privilege Vulnerability
Este parece ser o primeiro patch de segurança que afeta especificamente o Xbox. Houve um aviso para um certificado Xbox Live divulgado inadvertidamente em 2015, mas esta parece ser a primeira atualização específica de segurança para o próprio dispositivo. A Microsoft ainda observa que outros sistemas operacionais Windows não são afetados por esse bug. Não está claro como um invasor pode escalar privilégios usando essa vulnerabilidade, mas o componente Auth Manager está listado como afetado. Este serviço lida com a interação com o serviço Xbox Live.
CVE-2022-24508 – Windows SMBv3 Client/Server Remote Code Execution Vulnerability
Esse bug pode permitir que um invasor execute código no Windows 10 versão 2004 e em sistemas mais recentes. Também lembra o CVE-2020-0796 de alguns anos atrás. Ambos também listam a desativação da compactação SMBv3 como solução alternativa para servidores SMB, mas isso não ajuda os clientes. Em 2020, a Microsoft observou que a compactação SMBv3 “ainda não é usada pelo Windows ou Windows Server e desabilitar a compactação SMB não tem impacto negativo no desempenho”. Isso não está no aviso atual, portanto, não está claro o que a desativação desse recurso terá agora. A autenticação é necessária aqui, mas como isso afetou clientes e servidores, um invasor pode usar isso para movimento lateral dentro de uma rede.
Aqui está a lista completa de CVE lançada pela Microsoft para março de 2022:
| CVE | Title | Severity | CVSS | Public | Exploited | Type |
| CVE-2022-24512 | .NET and Visual Studio Remote Code Execution Vulnerability | Important | 6.3 | Yes | No | RCE |
| CVE-2022-21990 | Remote Desktop Client Remote Code Execution Vulnerability | Important | 8.8 | Yes | No | RCE |
| CVE-2022-24459 | Windows Fax and Scan Service Elevation of Privilege Vulnerability | Important | 7.8 | Yes | No | EoP |
| CVE-2022-22006 | HEVC Video Extensions Remote Code Execution Vulnerability | Critical | 7.8 | No | No | RCE |
| CVE-2022-23277 | Microsoft Exchange Server Remote Code Execution Vulnerability | Critical | 8.8 | No | No | RCE |
| CVE-2022-24501 | VP9 Video Extensions Remote Code Execution Vulnerability | Critical | 7.8 | No | No | RCE |
| CVE-2022-24508 | Windows SMBv3 Client/Server Remote Code Execution Vulnerability | Important | 8.8 | No | No | RCE |
| CVE-2022-21967 | Xbox Live Auth Manager for Windows Elevation of Privilege Vulnerability | Important | 7 | No | No | EoP |
| CVE-2022-24464 | .NET and Visual Studio Denial of Service Vulnerability | Important | 7.5 | No | No | DoS |
| CVE-2022-24469 | Azure Site Recovery Elevation of Privilege Vulnerability | Important | 8.1 | No | No | EoP |
| CVE-2022-24506 | Azure Site Recovery Elevation of Privilege Vulnerability | Important | 6.5 | No | No | EoP |
| CVE-2022-24515 | Azure Site Recovery Elevation of Privilege Vulnerability | Important | 6.5 | No | No | EoP |
| CVE-2022-24518 | Azure Site Recovery Elevation of Privilege Vulnerability | Important | 6.5 | No | No | EoP |
| CVE-2022-24519 | Azure Site Recovery Elevation of Privilege Vulnerability | Important | 6.5 | No | No | EoP |
| CVE-2022-24467 | Azure Site Recovery Remote Code Execution Vulnerability | Important | 7.2 | No | No | RCE |
| CVE-2022-24468 | Azure Site Recovery Remote Code Execution Vulnerability | Important | 7.2 | No | No | RCE |
| CVE-2022-24470 | Azure Site Recovery Remote Code Execution Vulnerability | Important | 7.2 | No | No | RCE |
| CVE-2022-24471 | Azure Site Recovery Remote Code Execution Vulnerability | Important | 7.2 | No | No | RCE |
| CVE-2022-24517 | Azure Site Recovery Remote Code Execution Vulnerability | Important | 7.2 | No | No | RCE |
| CVE-2022-24520 | Azure Site Recovery Remote Code Execution Vulnerability | Important | 7.2 | No | No | RCE |
| CVE-2020-8927 * | Brotli Library Buffer Overflow Vulnerability | Important | 6.5 | No | No | N/A |
| CVE-2022-24457 | HEIF Image Extensions Remote Code Execution Vulnerability | Important | 7.8 | No | No | RCE |
| CVE-2022-22007 | HEVC Video Extensions Remote Code Execution Vulnerability | Important | 7.8 | No | No | RCE |
| CVE-2022-23301 | HEVC Video Extensions Remote Code Execution Vulnerability | Important | 7.8 | No | No | RCE |
| CVE-2022-24452 | HEVC Video Extensions Remote Code Execution Vulnerability | Important | 7.8 | No | No | RCE |
| CVE-2022-24453 | HEVC Video Extensions Remote Code Execution Vulnerability | Important | 7.8 | No | No | RCE |
| CVE-2022-24456 | HEVC Video Extensions Remote Code Execution Vulnerability | Important | 7.8 | No | No | RCE |
| CVE-2022-21977 | Media Foundation Information Disclosure Vulnerability | Important | 3.3 | No | No | Info |
| CVE-2022-22010 | Media Foundation Information Disclosure Vulnerability | Important | 4.4 | No | No | Info |
| CVE-2022-23278 | Microsoft Defender for Endpoint Spoofing Vulnerability | Important | 5.9 | No | No | Spoofing |
| CVE-2022-23266 | Microsoft Defender for IoT Elevation of Privilege Vulnerability | Important | 7.8 | No | No | EoP |
| CVE-2022-23265 | Microsoft Defender for IoT Remote Code Execution Vulnerability | Important | 7.2 | No | No | RCE |
| CVE-2022-24463 | Microsoft Exchange Server Spoofing Vulnerability | Important | 6.5 | No | No | Spoofing |
| CVE-2022-24465 | Microsoft Intune Portal for iOS Security Feature Bypass Vulnerability | Important | 3.3 | No | No | SFB |
| CVE-2022-24461 | Microsoft Office Visio Remote Code Execution Vulnerability | Important | 7.8 | No | No | RCE |
| CVE-2022-24509 | Microsoft Office Visio Remote Code Execution Vulnerability | Important | 7.8 | No | No | RCE |
| CVE-2022-24510 | Microsoft Office Visio Remote Code Execution Vulnerability | Important | 7.8 | No | No | RCE |
| CVE-2022-24511 | Microsoft Office Word Tampering Vulnerability | Important | 5.5 | No | No | Tampering |
| CVE-2022-24462 | Microsoft Word Security Feature Bypass Vulnerability | Important | 5.5 | No | No | SFB |
| CVE-2022-23282 | Paint 3D Remote Code Execution Vulnerability | Important | 7.8 | No | No | RCE |
| CVE-2022-23253 | Point-to-Point Tunneling Protocol Denial of Service Vulnerability | Important | 6.5 | No | No | DoS |
| CVE-2022-23295 | Raw Image Extension Remote Code Execution Vulnerability | Important | 7.8 | No | No | RCE |
| CVE-2022-23300 | Raw Image Extension Remote Code Execution Vulnerability | Important | 7.8 | No | No | RCE |
| CVE-2022-23285 | Remote Desktop Client Remote Code Execution Vulnerability | Important | 8.8 | No | No | RCE |
| CVE-2022-24503 | Remote Desktop Protocol Client Information Disclosure Vulnerability | Important | 5.4 | No | No | Info |
| CVE-2022-24522 | Skype Extension for Chrome Information Disclosure Vulnerability | Important | 7.5 | No | No | Info |
| CVE-2022-24460 | Tablet Windows User Interface Application Elevation of Privilege Vulnerability | Important | 7 | No | No | EoP |
| CVE-2022-24526 | Visual Studio Code Spoofing Vulnerability | Important | 6.1 | No | No | Spoofing |
| CVE-2022-24451 | VP9 Video Extensions Remote Code Execution Vulnerability | Important | 7.8 | No | No | RCE |
| CVE-2022-23283 | Windows ALPC Elevation of Privilege Vulnerability | Important | 7 | No | No | EoP |
| CVE-2022-23287 | Windows ALPC Elevation of Privilege Vulnerability | Important | 7 | No | No | EoP |
| CVE-2022-24505 | Windows ALPC Elevation of Privilege Vulnerability | Important | 7 | No | No | EoP |
| CVE-2022-24507 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Important | 7.8 | No | No | EoP |
| CVE-2022-24455 | Windows CD-ROM Driver Elevation of Privilege Vulnerability | Important | 7.8 | No | No | EoP |
| CVE-2022-23286 | Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability | Important | 7 | No | No | EoP |
| CVE-2022-23281 | Windows Common Log File System Driver Information Disclosure Vulnerability | Important | 5.5 | No | No | Info |
| CVE-2022-23288 | Windows DWM Core Library Elevation of Privilege Vulnerability | Important | 7 | No | No | EoP |
| CVE-2022-23291 | Windows DWM Core Library Elevation of Privilege Vulnerability | Important | 7.8 | No | No | EoP |
| CVE-2022-23294 | Windows Event Tracing Remote Code Execution Vulnerability | Important | 8.8 | No | No | RCE |
| CVE-2022-23293 | Windows Fast FAT File System Driver Elevation of Privilege Vulnerability | Important | 7.8 | No | No | EoP |
| CVE-2022-24502 | Windows HTML Platforms Security Feature Bypass Vulnerability | Important | 4.3 | No | No | SFB |
| CVE-2022-21975 | Windows Hyper-V Denial of Service Vulnerability | Important | 4.7 | No | No | DoS |
| CVE-2022-23290 | Windows Inking COM Elevation of Privilege Vulnerability | Important | 7.8 | No | No | EoP |
| CVE-2022-23296 | Windows Installer Elevation of Privilege Vulnerability | Important | 7.8 | No | No | EoP |
| CVE-2022-21973 | Windows Media Center Update Denial of Service Vulnerability | Important | 5.5 | No | No | DoS |
| CVE-2022-23297 | Windows NT Lan Manager Datagram Receiver Driver Information Disclosure Vulnerability | Important | 5.5 | No | No | Info |
| CVE-2022-23298 | Windows NT OS Kernel Elevation of Privilege Vulnerability | Important | 7 | No | No | EoP |
| CVE-2022-23299 | Windows PDEV Elevation of Privilege Vulnerability | Important | 7.8 | No | No | EoP |
| CVE-2022-23284 | Windows Print Spooler Elevation of Privilege Vulnerability | Important | 7.2 | No | No | EoP |
| CVE-2022-24454 | Windows Security Support Provider Interface Elevation of Privilege Vulnerability | Important | 7.8 | No | No | EoP |
| CVE-2022-24525 | Windows Update Stack Elevation of Privilege Vulnerability | Important | 7 | No | No | EoP |
| CVE-2022-0789 * | Chromium: Heap buffer overflow in ANGLE | High | N/A | No | No | RCE |
| CVE-2022-0797 * | Chromium: Out of bounds memory access in Mojo | High | N/A | No | No | RCE |
| CVE-2022-0792 * | Chromium: Out of bounds read in ANGLE | High | N/A | No | No | RCE |
| CVE-2022-0795 * | Chromium: Type Confusion in Blink Layout | High | N/A | No | No | RCE |
| CVE-2022-0790 * | Chromium: Use after free in Cast UI | High | N/A | No | No | RCE |
| CVE-2022-0796 * | Chromium: Use after free in Media | High | N/A | No | No | RCE |
| CVE-2022-0791 * | Chromium: Use after free in Omnibox | High | N/A | No | No | RCE |
| CVE-2022-0793 * | Chromium: Use after free in Views | High | N/A | No | No | RCE |
| CVE-2022-0794 * | Chromium: Use after free in WebShare | High | N/A | No | No | RCE |
| CVE-2022-0800 * | Chromium: Heap buffer overflow in Cast UI | Medium | N/A | No | No | RCE |
| CVE-2022-0807 * | Chromium: Inappropriate implementation in Autofill | Medium | N/A | No | No | Info |
| CVE-2022-0802 * | Chromium: Inappropriate implementation in Full screen mode | Medium | N/A | No | No | Info |
| CVE-2022-0804 * | Chromium: Inappropriate implementation in Full screen mode | Medium | N/A | No | No | Info |
| CVE-2022-0801 * | Chromium: Inappropriate implementation in HTML parser | Medium | N/A | No | No | Tampering |
| CVE-2022-0803 * | Chromium: Inappropriate implementation in Permissions | Medium | N/A | No | No | SFB |
| CVE-2022-0799 * | Chromium: Insufficient policy enforcement in Installer | Medium | N/A | No | No | SFB |
| CVE-2022-0809 * | Chromium: Out of bounds memory access in WebXR | Medium | N/A | No | No | RCE |
| CVE-2022-0805 * | Chromium: Use after free in Browser Switcher | Medium | N/A | No | No | RCE |
| CVE-2022-0808 * | Chromium: Use after free in Chrome OS Shell | Medium | N/A | No | No | RCE |
| CVE-2022-0798 * | Chromium: Use after free in MediaStream | Medium | N/A | No | No | RCE |
* Indica que este CVE foi lançado anteriormente por terceiros e agora está sendo incorporado aos produtos da Microsoft.
Observando o restante da versão de março, destacam-se os 11 CVEs que afetam o Azure Site Recovery. Para aqueles que não estão familiarizados com isso, o Site Recovery é uma recuperação de desastres nativa como um serviço (DRaaS). O lançamento deste mês inclui correções para cinco erros de elevação de privilégio (EoP) e seis de execução remota de código (RCE) na plataforma. Considerando tudo o que está acontecendo no mundo, agora é um mau momento para ter problemas com seus planos de recuperação de desastres. Se você estiver usando esta plataforma, certifique-se de que esses patches sejam instalados. Caso contrário, reserve um tempo para revisar seus planos de recuperação de desastres de qualquer maneira.
Além do bug do Exchange já mencionado, as correções com classificação Crítica nesta versão abordam bugs nas extensões de vídeo HEVC e VP9. Essas atualizações podem ser encontradas na Microsoft Store. Se você não estiver conectado à Internet ou estiver em um ambiente desconectado, precisará aplicar o patch manualmente.
Incluindo os já mencionados, há um total de 28 correções RCE lançadas esse mês. Existem atualizações adicionais para o componente de extensão de vídeo HEVC. Novamente, essas correções são obtidas por meio da Microsoft Store. Os bugs de extensão de imagem bruta também se enquadram nessa classe. Existem três correções para o Visio que foram relatadas pelo kdot por meio deste programa ZDI.
Seis das correções deste mês tratam de bugs de divulgação de informações. Na maioria das vezes, isso resulta apenas em vazamentos que consistem em conteúdo de memória não especificado. A única exceção é o bug que afeta a extensão do Skype para Chrome. Essa vulnerabilidade pode divulgar inadvertidamente o ID do Skype de um destino. Um invasor pode obter acesso a esse ID, ele pode combiná-lo no Skype com um nome e Avatar do usuário de destino. Se você estiver usando o Skype para Chrome, precisará obter a atualização por meio da Chrome Web Store.
Há quatro atualizações para corrigir bugs de DoS nesta versão, e duas se destacam sobre as outras. O primeiro é um DoS no Hyper-V, o que é sempre inconveniente se você for um dos outros SOs convidados nesse servidor Hyper-V. A outra é uma vulnerabilidade no protocolo Point-to-Point Tunneling (PPTP), que é usado na implementação de redes privadas virtuais (VPN) que permitem que as pessoas estendam suas redes privadas pela Internet através de “túneis”. Não há detalhes sobre esse bug, mas qualquer coisa que possa derrubar uma VPN não é bem-vinda – especialmente porque muitos de nós dependem de VPNs para trabalhar em casa (ou em qualquer lugar).
O lançamento deste mês inclui três atualizações para bugs de falsificação do Exchange, que pode permitir que um invasor autenticado visualize o conteúdo do arquivo no servidor afetado.
Por fim, temos um bug de adulteração estranho no Microsoft Word. A Microsoft não fornece informações sobre como a vulnerabilidade pode ser explorada, mas indica que as informações da vítima podem ser enviadas ao invasor e que o painel de visualização é um vetor de ataque. Parece que um documento do Word especialmente criado pode enviar informações potencialmente confidenciais a um invasor quando o documento é aberto ou visualizado no painel de visualização. Os usuários do Office para Mac também estão sem sorte, pois os patches para o Microsoft Office 2019 para Mac e o Microsoft Office LTSC para Mac 2021 ainda não estão disponíveis.
Não foram divulgados novos avisos este mês. As atualizações mais recentes da pilha de manutenção podem ser encontradas no ADV990001 revisado.
No mais, aguardaremos os novos patches mês que vem. Mantenha-se protegido e até lá!
