Para este segundo Patch Tuesday de 2020, a Microsoft lançou uma centena de patches para Windows e outros softwares da Microsoft, incluindo 12 vulnerabilidades sinalizadas como críticas e 87 sinalizadas como importantes. Além disso, a Adobe também publicou atualizações para os produtos Flash Player, Acrobat, Framemaker, Experience Manager e Digital Editions em notificações com tempo marcado para coincidir com a publicação da Microsoft.
Segundo o Guia de atualização de segurança da Microsoft, os sistemas serão atualizados à medida que mais informações estiverem disponíveis, mas a lista de páginas não menos que 26 registros CVE que abordam várias vulnerabilidades nos produtos Microsoft. Se isso parecer muito, a lista da Adobe (publicada na página Boletins e atualizações de segurança) lista 17 CVEs apenas para as linhas de produtos Acrobat, 12 das quais classificadas como uma correção crítica. Seja como for, fevereiro pode ser um mês curto, mas é um dos maiores de atualizações que vimos.
Como sempre, você pode baixar manualmente o pacote cumulativo de atualizações específico para o seu sistema Windows suportado no site do Catálogo do Microsoft Update.
No Windows, os componentes mais críticos que requerem atenção são:
– Kernel do Windows
– Protocolo de área de trabalho remota do Windows (RDP)
– Mecanismo de script
– Windows Media Foundation
– Serviço de Backup do Windows
– Alguma atenção especial deve ser chamada ao CVE-2020-0674 (Vulnerabilidade de corrupção de memória do mecanismo de script), pois sua exploração foi detectada na natureza.
Além disso, a Patch Tuesday de fevereiro aborda muitas vulnerabilidades críticas, que ainda não foram identificadas como ativamente exploradas, mas podem ocorrer em um futuro próximo, incluindo:
– CVE-2020-0662: Vulnerabilidade de execução remota de código do Windows
– CVE-2020-0681: Vulnerabilidade de execução remota de código do cliente de área de trabalho remota
– CVE-2020-0734: Vulnerabilidade de execução remota de código do cliente de área de trabalho remota
– CVE-2020-0729: Vulnerabilidade de execução remota de código do LNK
– CVE-2020-0738: Vulnerabilidade de corrupção de memória do Media Foundation
– CVE-2020-0673: Vulnerabilidade de corrupção de memória do mecanismo de script
– CVE-2020-0710: Vulnerabilidade de corrupção de memória do mecanismo de script
– CVE-2020-0711: Vulnerabilidade de corrupção de memória do mecanismo de script
– CVE-2020-0712: Vulnerabilidade de corrupção de memória do mecanismo de script
– CVE-2020-0713: Vulnerabilidade de corrupção de memória do mecanismo de script
Vulnerabilidade do LNK
CVE-2020-0729
Uma das vulnerabilidades mais interessantes deste mês é CVE-2020-0729: Vulnerabilidade de execução remota de código do LNK. O tipo de arquivo LNK é um formato binário [documentado publicamente]. Ao contrário do Linux, que usa links simbólicos para criar atalhos, o Windows conta com esse formato LNK (embora o Windows também suporte e use links simbólicos, via NTFS). Como formato binário, requer que o sistema operacional analise o conteúdo, o que pode introduzir vulnerabilidades, como aconteceu no passado (CVE-2017-8464 ou CVE-2015-0096). Poucas informações foram comunicadas pela Microsoft, exceto que uma exploração bem-sucedida dessa nova vulnerabilidade (CVE-2020-0729) levaria a uma execução de código, possivelmente remotamente. É provavelmente por isso que a Microsoft decidiu classificar essa vulnerabilidade como “Crítica”.
Mecanismo de script
CVE-2019-1451, CVE-2020-0673, CVE-2020-0674, CVE-2020-0710,
CVE-2020-0711, CVE-2020-0712, CVE-2020-0713
Várias vulnerabilidades da Execução Remota de Código (RCE) foram descobertas e corrigidas este mês. Embora essas vulnerabilidades não sejam imediatamente vinculadas a um comprometimento total do sistema, sua exploração bem-sucedida daria ao invasor uma base de apoio em um computador de destino, com privilégios associados, permitindo maior escalonamento horizontal ou vertical.
CVE-2020-0674 é a outra vulnerabilidade que se destaca este mês, principalmente porque foi encontrada explorada na natureza, portanto sua exploração não é meramente teórica. Portanto, o SophosLabs recomenda aplicar imediatamente os patches disponíveis para evitar ser comprometido por qualquer uma dessas vulnerabilidades.
Serviço e cliente RDP
CVE-2020-0655, CVE-2020-0660, CVE-2020-0681, CVE-2020-0734
Este mês novamente, o RDP é um alvo de escolha, onde 4 vulnerabilidades foram corrigidas em vários componentes:
– Serviço de área de trabalho remota: CVE-2020-0655
– Cliente de área de trabalho remota: CVE-2020-0681, CVE-2020-0734
Curiosamente, algumas vulnerabilidades nos componentes RDP estão relacionadas a uma análise de pacote incorreta quando uma conexão é realizada via UDP (CVE-2020-0681), como foi o caso no mês passado para CVE-2020-0609 e CVE-2020-0610, que também resultou de uma validação incorreta de pacotes UDP.
Além dos erros de RCE mencionados acima, também foi corrigido um problema de DoS (CVE-2020-0660).
Componente Windows Kernel Win32k
CVE-2020-0691, CVE-2020-0716, CVE-2020-0717, CVE-2020-0719,
CVE-2020-0720, CVE-2020-0721, CVE-2020-0722, CVE-2020-0723,
CVE-2020-0724, CVE-2020-0725, CVE-2020-0726, CVE-2020-0731,
CVE-2020-0714, CVE-2020-0709, CVE-2020-0792
Várias vulnerabilidades de corrupção de memória foram descobertas e corrigidas pela Microsoft nos componentes do kernel do Win32k e DirectX. Embora essas vulnerabilidades variem por natureza (Use after Free, buffer overflow), sua exploração bem-sucedida permitiria que um invasor elevasse localmente seus privilégios; ou no caso de um cenário remoto (e associado a (pelo menos) uma exploração do navegador), essas vulnerabilidades podem ser acionadas remotamente e permitir uma fuga da caixa de proteção do navegador, fornecendo controle total ao invasor e de maneira totalmente remota.
Como a Sophos está respondendo a essas ameaças?
Aqui está uma lista de proteção lançada pela SophosLabs em resposta a este comunicado para complementar todos os recursos existentes de proteção e mitigação de exploração genérica em nossos produtos.
| VE-2020-0674 | Troj/ExpJS-NY, Exp/20200674-A | 90001064 90001065 90001067 90001059 |
ADDITIONAL IPS SIGNATURES
| CVE | SID |
| CVE-2020-0658 | 2301474 |
Quanto tempo leva para a detecção de Sophos em minha empresa?
Nosso objetivo é adicionar a detecção a problemas críticos com base no tipo e na natureza das vulnerabilidades o mais rápido possível. Em muitos casos, as detecções existentes capturam tentativas de exploração sem a necessidade de atualizações.
E se a vulnerabilidade / dia que você procura não estiver listada aqui?
Se não lançamos uma atualização para uma exploração específica, o motivo mais provável é que não recebemos os dados que mostram como a exploração funciona no mundo real. Como muitas das façanhas deste mês foram criadas em laboratório e ainda não foram vistas na natureza, ninguém tem informações suficientes (ainda) sobre como os criminosos poderiam, hipoteticamente, explorar qualquer vulnerabilidade. Se ou quando recebermos informações sobre ataques reais, criaremos novas detecções, conforme necessário.
Quer saber mais como proteger a estrutura de sua empresa de qualquer utilizando as melhores e mais modernas soluções de segurança do mercado? Fale com nossos especialistas!
Telefone: (62)3932-1212
E-Mail: contato@inntecnologia.com
