PATCH TUESDAY DE MARÇO TRAZ…

O mês de março chegou e com ele o mais novo Patch Tuesday. O que isso significa? Novas atualizações de segurança recentes da Adobe e da Microsoft!

Patches do Adobe para esse mês

Este mês, a Adobe lançou apenas três patches abordando seis CVEs no Adobe Photoshop, Illustrator e After Effects. O patch para o After Effects é o maior dos três, corrigindo quatro estouros de buffer baseados em pilha com classificação Crítica que podem resultar na execução de código arbitrário. A correção para o Illustrator também é classificada como Crítica. Ele aborda um único estouro de buffer que pode levar à execução arbitrária de código. Por fim, a atualização do Photoshop corrige um único vazamento de memória com classificação Importante.

Patches da Microsoft para esse mês

Para este mês, a Microsoft lançou 71 novos patches abordando CVEs no Microsoft Windows e componentes do Windows, Azure Site Recovery, Microsoft Defender for Endpoint e IoT, Intune, Edge (baseado no Chromium), Plataformas HTML do Windows, Office e componentes do Office, Skype para Chrome, .NET e Visual Studio, Windows RDP, SMB Server e Xbox. Isso se soma aos 21 CVEs corrigidos pelo Microsoft Edge (baseado no Chromium) no início deste mês, o que eleva o total de março para 92 CVEs.

Dos 71 CVEs lançados, três são Críticos e 68 são Importantes em gravidade. Um total de sete desses bugs veio através do programa ZDI. No entanto, o número de patches com classificação Crítica é baixo para esse número de bugs.

Nenhum dos bugs está listado como exploração Ativa, enquanto três estão listados como conhecidos publicamente até o presente momento.

Os bugs listados como conhecidos publicamente:

CVE-2022-23277Microsoft Exchange Server Remote Code Execution Vulnerability

Bug de classificação crítica no Exchange Server. A vulnerabilidade permitiria que um invasor autenticado executasse seu código com privilégios elevados por meio de uma chamada de rede.

CVE-2022-21990 – Remote Desktop Client Remote Code Execution Vulnerability

Se um invasor puder atrair um cliente RDP afetado para se conectar ao servidor RDP, poderá acionar a execução de código no cliente de destino.

CVE-2022-21967Xbox Live Auth Manager for Windows Elevation of Privilege Vulnerability

Este parece ser o primeiro patch de segurança que afeta especificamente o Xbox. Houve um aviso para um certificado Xbox Live divulgado inadvertidamente em 2015, mas esta parece ser a primeira atualização específica de segurança para o próprio dispositivo. A Microsoft ainda observa que outros sistemas operacionais Windows não são afetados por esse bug. Não está claro como um invasor pode escalar privilégios usando essa vulnerabilidade, mas o componente Auth Manager está listado como afetado. Este serviço lida com a interação com o serviço Xbox Live.

CVE-2022-24508Windows SMBv3 Client/Server Remote Code Execution Vulnerability

Esse bug pode permitir que um invasor execute código no Windows 10 versão 2004 e em sistemas mais recentes. Também lembra o CVE-2020-0796 de alguns anos atrás. Ambos também listam a desativação da compactação SMBv3 como solução alternativa para servidores SMB, mas isso não ajuda os clientes. Em 2020, a Microsoft observou que a compactação SMBv3 “ainda não é usada pelo Windows ou Windows Server e desabilitar a compactação SMB não tem impacto negativo no desempenho”. Isso não está no aviso atual, portanto, não está claro o que a desativação desse recurso terá agora. A autenticação é necessária aqui, mas como isso afetou clientes e servidores, um invasor pode usar isso para movimento lateral dentro de uma rede.

Aqui está a lista completa de CVE lançada pela Microsoft para março de 2022:

CVE Title Severity CVSS Public Exploited Type
CVE-2022-24512 .NET and Visual Studio Remote Code Execution Vulnerability Important 6.3 Yes No RCE
CVE-2022-21990 Remote Desktop Client Remote Code Execution Vulnerability Important 8.8 Yes No RCE
CVE-2022-24459 Windows Fax and Scan Service Elevation of Privilege Vulnerability Important 7.8 Yes No EoP
CVE-2022-22006 HEVC Video Extensions Remote Code Execution Vulnerability Critical 7.8 No No RCE
CVE-2022-23277 Microsoft Exchange Server Remote Code Execution Vulnerability Critical 8.8 No No RCE
CVE-2022-24501 VP9 Video Extensions Remote Code Execution Vulnerability Critical 7.8 No No RCE
CVE-2022-24508 Windows SMBv3 Client/Server Remote Code Execution Vulnerability Important 8.8 No No RCE
CVE-2022-21967 Xbox Live Auth Manager for Windows Elevation of Privilege Vulnerability Important 7 No No EoP
CVE-2022-24464 .NET and Visual Studio Denial of Service Vulnerability Important 7.5 No No DoS
CVE-2022-24469 Azure Site Recovery Elevation of Privilege Vulnerability Important 8.1 No No EoP
CVE-2022-24506 Azure Site Recovery Elevation of Privilege Vulnerability Important 6.5 No No EoP
CVE-2022-24515 Azure Site Recovery Elevation of Privilege Vulnerability Important 6.5 No No EoP
CVE-2022-24518 Azure Site Recovery Elevation of Privilege Vulnerability Important 6.5 No No EoP
CVE-2022-24519 Azure Site Recovery Elevation of Privilege Vulnerability Important 6.5 No No EoP
CVE-2022-24467 Azure Site Recovery Remote Code Execution Vulnerability Important 7.2 No No RCE
CVE-2022-24468 Azure Site Recovery Remote Code Execution Vulnerability Important 7.2 No No RCE
CVE-2022-24470 Azure Site Recovery Remote Code Execution Vulnerability Important 7.2 No No RCE
CVE-2022-24471 Azure Site Recovery Remote Code Execution Vulnerability Important 7.2 No No RCE
CVE-2022-24517 Azure Site Recovery Remote Code Execution Vulnerability Important 7.2 No No RCE
CVE-2022-24520 Azure Site Recovery Remote Code Execution Vulnerability Important 7.2 No No RCE
CVE-2020-8927 * Brotli Library Buffer Overflow Vulnerability Important 6.5 No No N/A
CVE-2022-24457 HEIF Image Extensions Remote Code Execution Vulnerability Important 7.8 No No RCE
CVE-2022-22007 HEVC Video Extensions Remote Code Execution Vulnerability Important 7.8 No No RCE
CVE-2022-23301 HEVC Video Extensions Remote Code Execution Vulnerability Important 7.8 No No RCE
CVE-2022-24452 HEVC Video Extensions Remote Code Execution Vulnerability Important 7.8 No No RCE
CVE-2022-24453 HEVC Video Extensions Remote Code Execution Vulnerability Important 7.8 No No RCE
CVE-2022-24456 HEVC Video Extensions Remote Code Execution Vulnerability Important 7.8 No No RCE
CVE-2022-21977 Media Foundation Information Disclosure Vulnerability Important 3.3 No No Info
CVE-2022-22010 Media Foundation Information Disclosure Vulnerability Important 4.4 No No Info
CVE-2022-23278 Microsoft Defender for Endpoint Spoofing Vulnerability Important 5.9 No No Spoofing
CVE-2022-23266 Microsoft Defender for IoT Elevation of Privilege Vulnerability Important 7.8 No No EoP
CVE-2022-23265 Microsoft Defender for IoT Remote Code Execution Vulnerability Important 7.2 No No RCE
CVE-2022-24463 Microsoft Exchange Server Spoofing Vulnerability Important 6.5 No No Spoofing
CVE-2022-24465 Microsoft Intune Portal for iOS Security Feature Bypass Vulnerability Important 3.3 No No SFB
CVE-2022-24461 Microsoft Office Visio Remote Code Execution Vulnerability Important 7.8 No No RCE
CVE-2022-24509 Microsoft Office Visio Remote Code Execution Vulnerability Important 7.8 No No RCE
CVE-2022-24510 Microsoft Office Visio Remote Code Execution Vulnerability Important 7.8 No No RCE
CVE-2022-24511 Microsoft Office Word Tampering Vulnerability Important 5.5 No No Tampering
CVE-2022-24462 Microsoft Word Security Feature Bypass Vulnerability Important 5.5 No No SFB
CVE-2022-23282 Paint 3D Remote Code Execution Vulnerability Important 7.8 No No RCE
CVE-2022-23253 Point-to-Point Tunneling Protocol Denial of Service Vulnerability Important 6.5 No No DoS
CVE-2022-23295 Raw Image Extension Remote Code Execution Vulnerability Important 7.8 No No RCE
CVE-2022-23300 Raw Image Extension Remote Code Execution Vulnerability Important 7.8 No No RCE
CVE-2022-23285 Remote Desktop Client Remote Code Execution Vulnerability Important 8.8 No No RCE
CVE-2022-24503 Remote Desktop Protocol Client Information Disclosure Vulnerability Important 5.4 No No Info
CVE-2022-24522 Skype Extension for Chrome Information Disclosure Vulnerability Important 7.5 No No Info
CVE-2022-24460 Tablet Windows User Interface Application Elevation of Privilege Vulnerability Important 7 No No EoP
CVE-2022-24526 Visual Studio Code Spoofing Vulnerability Important 6.1 No No Spoofing
CVE-2022-24451 VP9 Video Extensions Remote Code Execution Vulnerability Important 7.8 No No RCE
CVE-2022-23283 Windows ALPC Elevation of Privilege Vulnerability Important 7 No No EoP
CVE-2022-23287 Windows ALPC Elevation of Privilege Vulnerability Important 7 No No EoP
CVE-2022-24505 Windows ALPC Elevation of Privilege Vulnerability Important 7 No No EoP
CVE-2022-24507 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability Important 7.8 No No EoP
CVE-2022-24455 Windows CD-ROM Driver Elevation of Privilege Vulnerability Important 7.8 No No EoP
CVE-2022-23286 Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability Important 7 No No EoP
CVE-2022-23281 Windows Common Log File System Driver Information Disclosure Vulnerability Important 5.5 No No Info
CVE-2022-23288 Windows DWM Core Library Elevation of Privilege Vulnerability Important 7 No No EoP
CVE-2022-23291 Windows DWM Core Library Elevation of Privilege Vulnerability Important 7.8 No No EoP
CVE-2022-23294 Windows Event Tracing Remote Code Execution Vulnerability Important 8.8 No No RCE
CVE-2022-23293 Windows Fast FAT File System Driver Elevation of Privilege Vulnerability Important 7.8 No No EoP
CVE-2022-24502 Windows HTML Platforms Security Feature Bypass Vulnerability Important 4.3 No No SFB
CVE-2022-21975 Windows Hyper-V Denial of Service Vulnerability Important 4.7 No No DoS
CVE-2022-23290 Windows Inking COM Elevation of Privilege Vulnerability Important 7.8 No No EoP
CVE-2022-23296 Windows Installer Elevation of Privilege Vulnerability Important 7.8 No No EoP
CVE-2022-21973 Windows Media Center Update Denial of Service Vulnerability Important 5.5 No No DoS
CVE-2022-23297 Windows NT Lan Manager Datagram Receiver Driver Information Disclosure Vulnerability Important 5.5 No No Info
CVE-2022-23298 Windows NT OS Kernel Elevation of Privilege Vulnerability Important 7 No No EoP
CVE-2022-23299 Windows PDEV Elevation of Privilege Vulnerability Important 7.8 No No EoP
CVE-2022-23284 Windows Print Spooler Elevation of Privilege Vulnerability Important 7.2 No No EoP
CVE-2022-24454 Windows Security Support Provider Interface Elevation of Privilege Vulnerability Important 7.8 No No EoP
CVE-2022-24525 Windows Update Stack Elevation of Privilege Vulnerability Important 7 No No EoP
CVE-2022-0789 * Chromium: Heap buffer overflow in ANGLE High N/A No No RCE
CVE-2022-0797 * Chromium: Out of bounds memory access in Mojo High N/A No No RCE
CVE-2022-0792 * Chromium: Out of bounds read in ANGLE High N/A No No RCE
CVE-2022-0795 * Chromium: Type Confusion in Blink Layout High N/A No No RCE
CVE-2022-0790 * Chromium: Use after free in Cast UI High N/A No No RCE
CVE-2022-0796 * Chromium: Use after free in Media High N/A No No RCE
CVE-2022-0791 * Chromium: Use after free in Omnibox High N/A No No RCE
CVE-2022-0793 * Chromium: Use after free in Views High N/A No No RCE
CVE-2022-0794 * Chromium: Use after free in WebShare High N/A No No RCE
CVE-2022-0800 * Chromium: Heap buffer overflow in Cast UI Medium N/A No No RCE
CVE-2022-0807 * Chromium: Inappropriate implementation in Autofill Medium N/A No No Info
CVE-2022-0802 * Chromium: Inappropriate implementation in Full screen mode Medium N/A No No Info
CVE-2022-0804 * Chromium: Inappropriate implementation in Full screen mode Medium N/A No No Info
CVE-2022-0801 * Chromium: Inappropriate implementation in HTML parser Medium N/A No No Tampering
CVE-2022-0803 * Chromium: Inappropriate implementation in Permissions Medium N/A No No SFB
CVE-2022-0799 * Chromium: Insufficient policy enforcement in Installer Medium N/A No No SFB
CVE-2022-0809 * Chromium: Out of bounds memory access in WebXR Medium N/A No No RCE
CVE-2022-0805 * Chromium: Use after free in Browser Switcher Medium N/A No No RCE
CVE-2022-0808 * Chromium: Use after free in Chrome OS Shell Medium N/A No No RCE
CVE-2022-0798 * Chromium: Use after free in MediaStream Medium N/A No No RCE

* Indica que este CVE foi lançado anteriormente por terceiros e agora está sendo incorporado aos produtos da Microsoft.

Observando o restante da versão de março, destacam-se os 11 CVEs que afetam o Azure Site Recovery. Para aqueles que não estão familiarizados com isso, o Site Recovery é uma recuperação de desastres nativa como um serviço (DRaaS). O lançamento deste mês inclui correções para cinco erros de elevação de privilégio (EoP) e seis de execução remota de código (RCE) na plataforma. Considerando tudo o que está acontecendo no mundo, agora é um mau momento para ter problemas com seus planos de recuperação de desastres. Se você estiver usando esta plataforma, certifique-se de que esses patches sejam instalados. Caso contrário, reserve um tempo para revisar seus planos de recuperação de desastres de qualquer maneira.

Além do bug do Exchange já mencionado, as correções com classificação Crítica nesta versão abordam bugs nas extensões de vídeo HEVC e VP9. Essas atualizações podem ser encontradas na Microsoft Store. Se você não estiver conectado à Internet ou estiver em um ambiente desconectado, precisará aplicar o patch manualmente.

Incluindo os já mencionados, há um total de 28 correções RCE lançadas esse mês. Existem atualizações adicionais para o componente de extensão de vídeo HEVC. Novamente, essas correções são obtidas por meio da Microsoft Store. Os bugs de extensão de imagem bruta também se enquadram nessa classe. Existem três correções para o Visio que foram relatadas pelo kdot por meio deste programa ZDI.

Seis das correções deste mês tratam de bugs de divulgação de informações. Na maioria das vezes, isso resulta apenas em vazamentos que consistem em conteúdo de memória não especificado. A única exceção é o bug que afeta a extensão do Skype para Chrome. Essa vulnerabilidade pode divulgar inadvertidamente o ID do Skype de um destino. Um invasor pode obter acesso a esse ID, ele pode combiná-lo no Skype com um nome e Avatar do usuário de destino. Se você estiver usando o Skype para Chrome, precisará obter a atualização por meio da Chrome Web Store.

Há quatro atualizações para corrigir bugs de DoS nesta versão, e duas se destacam sobre as outras. O primeiro é um DoS no Hyper-V, o que é sempre inconveniente se você for um dos outros SOs convidados nesse servidor Hyper-V. A outra é uma vulnerabilidade no protocolo Point-to-Point Tunneling (PPTP), que é usado na implementação de redes privadas virtuais (VPN) que permitem que as pessoas estendam suas redes privadas pela Internet através de “túneis”. Não há detalhes sobre esse bug, mas qualquer coisa que possa derrubar uma VPN não é bem-vinda – especialmente porque muitos de nós dependem de VPNs para trabalhar em casa (ou em qualquer lugar).

O lançamento deste mês inclui três atualizações para bugs de falsificação do Exchange, que pode permitir que um invasor autenticado visualize o conteúdo do arquivo no servidor afetado.

Por fim, temos um bug de adulteração estranho no Microsoft Word. A Microsoft não fornece informações sobre como a vulnerabilidade pode ser explorada, mas indica que as informações da vítima podem ser enviadas ao invasor e que o painel de visualização é um vetor de ataque. Parece que um documento do Word especialmente criado pode enviar informações potencialmente confidenciais a um invasor quando o documento é aberto ou visualizado no painel de visualização. Os usuários do Office para Mac também estão sem sorte, pois os patches para o Microsoft Office 2019 para Mac e o Microsoft Office LTSC para Mac 2021 ainda não estão disponíveis.

Não foram divulgados novos avisos este mês. As atualizações mais recentes da pilha de manutenção podem ser encontradas no ADV990001 revisado.

No mais, aguardaremos os novos patches mês que vem. Mantenha-se protegido e até lá!

Categorias

Veja outras publicações

Menu