Microsoft corrige falhas de segurança críticas em RCE e zero day

A atualização de segurança de novembro da Microsoft abordou 89 vulnerabilidades, entre as quais se destacam quatro bugs de zero day, dois dos quais já estão sob exploração ativa.

O primeiro desses bugs é o CVE-2024-43451, uma vulnerabilidade que permite a captura do hash NTLMv2, o que pode abrir acesso a credenciais em ambientes Windows. A exploração é simples e requer pouca interação do utilizador, como uma simples inspeção de ficheiro, o que aumenta os riscos para os sistemas Windows.

O segundo bug de zero day já explorado é o CVE-2024-49039, uma falha de elevação de privilégio no Agendador de Tarefas do Windows. Esta falha permite a execução de chamadas de procedimento remoto (RPC) para contas privilegiadas, mesmo partindo de um ambiente com baixos privilégios, como um AppContainer. A deteção desta vulnerabilidade por parte do Google Threat Analysis Group levanta preocupações sobre a possível exploração por grupos avançados e, potencialmente, patrocinados por estados-nação. A Microsoft já lançou correções para ambas as falhas e recomenda a aplicação imediata desses patches.

Além dos bugs explorados, dois zero days foram divulgados publicamente e permanecem inexplorados, mas são igualmente preocupantes. O CVE-2024-49019 afeta os Serviços de Certificados do Active Directory, permitindo que invasores obtenham acesso de administrador de domínio. A Microsoft orienta as organizações a limitar direitos de registo e proteger modelos de certificados, medidas cruciais para mitigar potenciais ataques. Já o bug CVE-2024-49040, é uma falha de falsificação no Exchange Server que permite manipulações nos cabeçalhos de e-mail, recurso que pode ser aproveitado em ataques de phishing direcionados.

Os ataques de RCE tiveram destaque na atualização de novembro, correspondendo a quase 60% das falhas corrigidas. Vulnerabilidades em aplicações populares, como MS SQL Server e Visual Studio Code, mostram o potencial de danos em larga escala. O CVE-2024-43639 no Windows Kerberos, com uma pontuação CVSS de 9.8, é especialmente alarmante por permitir exploração remota sem autenticação. Embora a Microsoft avalie o risco como baixo, especialistas alertam para a importância de corrigir esse bug, dado o papel crítico do Kerberos na autenticação de identidades.

Esta atualização de segurança não só aborda falhas críticas, como marca também um avanço no processo de divulgação de vulnerabilidades da Microsoft, que agora adota o Common Security Advisory Framework (CSAF). O CSAF é um formato que pode ser processado automaticamente e visa ajudar as organizações a acelerar os processos de resposta e correção de vulnerabilidades.