11 de agosto de 2020 | Dustin Childs

Agosto está aqui e também o último lote de patches de segurança da Adobe e da Microsoft. Faça uma pausa em suas atividades agendadas regularmente e junte-se a nós enquanto analisamos os detalhes dos patches de segurança para este mês.

Patches da Adobe para agosto de 2020

O lançamento da Adobe para agosto inclui apenas dois patches. A atualização do Adobe Reader corrige um total de 26 bugs, oito dos quais vieram por meio do programa ZDI. A maioria deles são Out-Of-Bounds (OOB), mas também há alguns erros de Use-After-Free (UAF), OOB Write, stack exhaustion e corrupção de memória. Um bug interessante sendo corrigido aqui é o CVE-2020-9697, que foi encontrado pelo Gerente de Análise de Vulnerabilidade do ZDI, Abdul-Aziz Hariri. O vazamento de divulgação de informações confiáveis parece ter existido por mais de uma década. Vamos twittar a demonstração de prova de conceito para este amanhã. Sim – a demonstração é curta o suficiente para caber em um tweet. Também digno de nota é o CVE-2020-9712 de classificação crítica. Esse bug pode permitir que os invasores ignorem as atenuações de análise de HTML no Acrobat Pro DC. Com isso, um invasor pode acionar a análise de documentos HTML remotamente de dentro do Acrobat. O outro patch corrige um bug de escalonamento de privilégios no Adobe Lightroom.

Nenhum dos bugs corrigidos pela Adobe hoje está listado como conhecido publicamente ou sob ataque ativo no momento do lançamento. Nos últimos dois meses, a Adobe lançou patches adicionais no final do mês. Será interessante ver se essa tendência continua.

Patches da Microsoft para agosto de 2020

Para agosto, a Microsoft lançou patches para 120 CVEs no Microsoft Windows, Edge (baseado em EdgeHTML e baseado em Chromium), ChakraCore, Internet Explorer (IE), Microsoft Scripting Engine, SQL Server, .NET Framework, ASP.NET Core, Office e Office Services e Web Apps, Windows Codecs Library e Microsoft Dynamics. Agora são seis meses consecutivos de 110+ CVEs e traz o total anual para 862 – 11 patches a mais do que a Microsoft disponibilizou em todo o ano de 2019. Se eles mantiverem esse ritmo, é bem possível que enviem mais de 1.300 patches este ano. Este volume – junto com cenários de manutenção difíceis – coloca uma pressão extra nas equipes de gerenciamento de patches.

Destes 120 patches, 17 são listados como Críticos e 103 são listados como Importantes em gravidade. Onze desses bugs vieram por meio do programa ZDI. Um desses bugs é listado como conhecido publicamente e dois como estando sob ataque ativo no momento do lançamento. Vamos dar uma olhada em algumas das atualizações mais interessantes para este mês, começando com os bugs que estão sendo explorados atualmente:

– CVE-2020-1380 – Vulnerabilidade de Corrupção de Memória do Mecanismo de Script

Este bug no IE está atualmente sob ataque ativo. Os invasores podem executar seu código em um sistema de destino se uma versão afetada do IE visualizar um site especialmente criado. Não se sabe a extensão dos ataques, mas considerando que esse bug foi relatado pela Kaspersky, é razoável supor que haja malware envolvido. Se você ainda estiver usando o IE, faça com que este seja sua prioridade.

– CVE-2020-1464 – Vulnerabilidade de Falsificação do Windows

Este bug de falsificação é conhecido publicamente e está sendo explorado atualmente. Ele permite que um invasor carregue arquivos assinados incorretamente, ignorando a verificação de assinatura. A Microsoft não lista onde isso é público ou quantas pessoas foram afetadas pelos ataques. Independentemente disso, esse bug afeta todas as versões do Windows com suporte, então teste e o implante rapidamente.

– CVE-2020-1472 – Vulnerabilidade de Elevação de Privilégio NetLogon

É raro ver um bug de elevação de privilégio com classificação crítica, mas este merece. Uma vulnerabilidade no Netlogon Remote Protocol (MS-NRPC) pode permitir que invasores executem suas aplicações em um dispositivo na rede. Um invasor não autenticado usaria MS-NRPC para se conectar a um Domain Controller (DC) para obter acesso administrativo. O pior é que não existe uma solução completa disponível. Esse patch permite que os DCs protejam os dispositivos, mas um segundo patch atualmente previsto para o primeiro trimestre de 2021 impõe uma Remote Procedure Call (RPC) segura com o Netlogon para resolver totalmente esse bug. Depois de aplicar este patch, você ainda precisará fazer alterações em seu DC. A Microsoft publicou diretrizes para ajudar os administradores a escolher as configurações corretas.

– CVE-2020-1585 – Vulnerabilidade de Execução Remota de Código da Biblioteca de Codecs do Microsoft Windows

Este é um dos dois bugs de codec relatados por Abdul-Aziz Hariri do ZDI. O bug permite a execução de código se um invasor conseguir convencer um usuário a visualizar um arquivo de imagem especialmente criado. O codec “AV1 Video Extension” é afetado aqui e só está disponível no Windows Store, o que significa que o patch está disponível apenas na Windows Store. O codec não é um componente padrão, portanto, se você tiver sistemas offline, é improvável que o codec esteja instalado.

Aqui está a lista completa de CVEs lançados pela Microsoft em agosto de 2020.

Dos patches com classificação crítica restantes, há outro bug do Outlook que pode permitir a execução de código por meio do Painel de Visualização. Isso faz dois meses consecutivos para esse tipo de vulnerabilidade. Existe um patch para um RCE no .NET Framework, e algumas versões do Windows requerem dois patches para serem totalmente protegidos. Existem cinco patches para o Windows Media Foundation que podem permitir o RCE. O leitor de PDF The Edge (baseado em EdgeHTML) obtém um patch para um RCE na visualização de PDFs. Além do mencionado acima, há alguns outros codecs sendo corrigidos este mês. Novamente, você precisará acessar a Windows Store para obter esses patches. Os patches com classificação crítica restantes envolvem cenários de navegação e propriedade para vários componentes.

Como de costume, os patches para bugs EoP dominam esta versão totalizando 61. Um total de 13 desses bugs são encontrados no mecanismo de backup do Windows. Outros componentes do Windows que estão sendo corrigidos incluem o Registro do Windows, o kernel, WalletService, GDI e o serviço Print Spooler. O patch para o Spooler de impressão foi relatado por várias pessoas, pois isso resultou de uma correção incompleta em maio. O pesquisador do ZDI Simon Zuckerbraun terá mais detalhes sobre os dois patches em breve. Definitivamente, vale a pena ler.

Continuando com os patches com classificação importante, 17 podem resultar na execução de código. Esses bugs são encontrados principalmente no pacote de produtos do Office, mas também incluem Visual Studio, Edge e o Jet Database Engine. Curiosamente, há uma vulnerabilidade RCE com classificação importante listada no driver da fonte. Normalmente, eles são listados como Críticos, então não está claro por que este não tem uma classificação tão alta.

Existem três bugs de negação de serviço (DoS) corrigidos nesta versão. Os impactos mais severos no Gateway de Área de Trabalho Remota do Windows. Os invasores podem forçá-lo a parar de responder conectando-se aos sistemas e enviando-lhe solicitações especialmente criadas.

Os bugs que permitem a divulgação de informações receberam 16 patches este mês. Digno de nota é outro bug no Outlook que pode ser alcançado através do Painel de Visualização. Nesse caso, a execução do código não é possível, portanto, a classificação Importante versus Crítico. Todos os bugs de divulgação de informações neste mês vazam memória, mas nenhuma PII ou outros dados confidenciais. O lançamento é complementado por patches para três bugs de falsificação no SharePoint. Também existem patches para dois bugs de script entre sites (XSS) no SharePoint e um no Dynamics.

O único comunicado para este mês é a atualização da revisão do Windows Servicing Stack, que adiciona atualizações para todas as versões com suporte do Windows.

Olhando para o Futuro

O próximo Patch Tuesday cai em 8 de setembro, e voltaremos com detalhes e análise de patch. Até então, fique seguro, aproveite a correção e que todas as reinicializações sejam suaves e limpas!