Perspectiva da Akamai sobre a Patch Tuesday de dezembro de 2024
Qual é o sentido dos calendários do Advento? Mostre tudo de uma vez e agora. E por tudo, queremos dizer CVEs. Neste mês, temos um total de 71 CVEs em 32 componentes diferentes. Desses CVEs, 17 são críticos e um foi observado em ambiente real.
Nesta publicação do blog, avaliaremos quão críticas são as vulnerabilidades e o quanto os aplicativos e serviços afetados são comuns, oferecendo uma perspectiva realista sobre os bugs que foram corrigidos. Atente-se a esses insights nos dias após cada Patch Tuesday.
Este é um relatório contínuo, e traremos mais informações, conforme o avanço da nossa pesquisa. Fique atento!
Neste mês, concentramo-nos nas seguintes áreas em que os bugs foram corrigidos:
Driver do sistema de arquivos de log comum do Windows
O sistema de arquivos de log comum é uma API do Windows que oferece recursos de registro em log de alto desempenho. Para interagir com ele, os desenvolvedores e programas contam com o arquivo DLL Clfsw32.dll, que é um componente do modo de usuário. Nos bastidores, no entanto, a lógica é implementada em um driver de kernel – clfs.sys. As vulnerabilidades corrigidas este mês provavelmente estão neste driver do kernel.
Isso é importante destacar porque os invasores podem usar esse driver legítimo como uma técnica de escalonamento de privilégios, mesmo em um sistema corrigido, por meio de um ataque Bring Your Own Vulnerable Driver (BYOVD).
Há três CVEs – todos para escalonamento de privilégios locais. Apenas uma delas, a CVE-2024-49138, foi detectada em exploração ativa: a CVE-2024-49138.
Número da CVE |
Efeito |
|---|---|
Elevação de privilégio |
|
LDAP (Lightweight Directory Access Protocol) do Windows
O Protocolo leve de acesso a diretórios (LDAP) do Windows é um protocolo de código aberto projetado para conectar e consultar serviços de diretórios e bancos de dados. O controlador de domínio do Active Directory tem uma implementação de servidor LDAP para permitir que programas e servidores existentes que dependem do LDAP usem o controlador de domínio existente sem exigir um servidor separado.
Este mês, há quatro vulnerabilidades no serviço LDAP que afetam controladores de domínio não corrigidos. Duas são vulnerabilidades de execução remota de código (RCE) e duas são vulnerabilidades de negação de serviço (DoS). Nenhuma das quatro requer autenticação.
Número da CVE |
Efeito |
|---|---|
Execução remota de código |
|
Negação de serviço |
|
Há também outra vulnerabilidade de RCE, a CVE-2024-49124, atribuída ao cliente LDAP. No entanto, suas notas referem-se à exploração no lado do servidor. Ainda não está claro se ela afeta o cliente ou o servidor.
Não podemos corrigir nosso controlador de domínio e arriscar ter tempo de inatividade. As vulnerabilidades podem ser mitigadas em outro lugar?
Não exatamente. Como o controlador de domínio é parte integrante de todas as partes do domínio, é praticamente impossível restringir o acesso a ele sem comprometer as operações normais da rede. Mesmo rastrear as vulnerabilidades pode ser difícil, já que elas não exigem autenticação. As equipes de resposta a incidentes podem estar à procura de sessões LDAP de curta duração que não tenham uma resposta do servidor. Isso pode indicar uma tentativa de exploração.
Em qualquer caso, certifique-se de que os controladores de domínio não estejam expostos à internet.
Serviços de Área de Trabalho Remota do Windows
A Área de Trabalho Remota do Windows é usada para conexão da área de trabalho remota entre máquinas Windows por meio do Remote Desktop Protocol (RDP). Há várias vulnerabilidades neste mês em diferentes componentes da Área de Trabalho Remota do Windows, por isso vamos discuti-las todas juntas.
Os principais são, claro, as nove vulnerabilidades críticas de execução remota de código (RCE) no servidor de área de trabalho remota. Um invasor "só" precisa se conectar a um servidor RDP, enviar spam com pacotes malformados e ganhar uma condição de corrida, o que pode ser aproveitado para uma RCE.
Como o RDP é muito comum em redes e pode ser usado para movimentação lateral, recomendamos criar regras de política que o cubram. Em nossas observações, 96% das redes tinham tráfego RDP do Windows, e 20% das redes não tinham restrições em partes desse tráfego. O lado positivo aqui é que a maioria das CVEs se refere especificamente a servidores com a função Remote Desk Gateway, apesar de serem tituladas como afetando todos os serviços de Área de Trabalho Remota do Windows. Os Gateways de Área de Trabalho Remota são menos comuns e, em nossa observação, apenas 36% dos ambientes tiveram esses.
Número da CVE |
Efeito |
|---|---|
Negação de serviço |
|
Execução remota de código |
|
Execução remota de código, lado do cliente |
A restrição do acesso ao RDP entre máquinas de usuários ou apenas a servidores pré-autorizados (como jump boxes) pode reduzir bastante o risco apresentado por essas vulnerabilidades. Nós cobrimos algumas vitórias rápidas em relação ao RDP em nosso post no blog sobre segmentação. Independentemente da política, recomendamos que você aplique patches o mais rápido possível.
MSMQ (Microsoft Message Queuing)
O serviço Microsoft Message Queuing (MSMQ) é um recurso opcional do Windows usado para entregar mensagens entre diferentes aplicações. Apesar de ser opcional, ele é usado em segundo plano por muitas aplicações empresariais para Windows, como o Microsoft Exchange Server. Em nossas observações, encontramos o serviço instalado em quase 70% dos ambientes, geralmente em mais de uma máquina.
Este mês, há duas vulnerabilidades críticas de RCE em rede, que podem permitir que invasores executem código remotamente ao enviar um pacote especialmente elaborado para o servidor MSMQ da vítima — sem necessidade de autenticação. Há também outra vulnerabilidade de DoS.
Como o serviço MSMQ fica acessível pela porta 1801, mas geralmente não é acessado por muitos clientes, já que é usado principalmente pela própria aplicação empresarial, recomendamos restringir o acesso arbitrário de rede a essa porta e a esse serviço. Tente segmentar o serviço usando políticas de lista de permissões, permitindo o acesso apenas aos computadores que realmente precisam dele. Para mais informações, você pode consultar nosso post no blog sobre segmentação, especificamente as seções sobre ringfencing de aplicações e microssegmentação.
Número da CVE |
Efeito |
|---|---|
Execução remota de código |
|
Negação de serviço |
Serviço de subsistema de autoridade de segurança local do Windows (LSASS)
O serviço de subsistema de autoridade de segurança local do Windows, ou (LSASS) é um processo central do sistema operacional Windows. Está sendo executado em modo de usuário, mas como um processo protegido, sendo responsável pelo gerenciamento de acesso e segurança — nomeadamente, o logon do usuário, a verificação de senha e o gerenciamento de tokens de segurança.
Uma tática comum usada por invasores e equipes de simulação de ataque (red teamers) era despejar a memória do processo para obter as senhas de usuário armazenadas dentro dela. A Microsoft deu um fim a isso adicionando cada vez mais mecanismos de segurança ao processo, como torná-lo um processo protegido e, recentemente, também utilizando o Hyper-V para isolá-lo do modo de usuário regular. Isso é importante.
Como o processo responsável pelos logons, ele também está sempre ouvindo em alguns componentes de rede, nomeadamente na forma de servidores RPC. A RCE crítica deste mês, a CVE-2024-49126, gira em torno de um desses componentes: Uma condição de corrida pode permitir que um invasor remoto execute código arbitrário no processo sem a necessidade de autenticação.
Serviços abordados anteriormente
Muitas CVEs na Patch Tuesday deste mês destinam-se a sistemas que já abordamos no passado. Se tiver interesse em nossa análise ou em recomendações gerais para esses serviços, recomendamos consultar nossos posts anteriores da série de perspectivas sobre a Patch Tuesday.
Serviço |
Número da CVE |
Efeito |
Acesso necessário |
|---|---|---|---|
Execução de código arbitrária |
Rede; o usuário precisa abrir um arquivo mal-intencionado |
||
Elevação de privilégio |
Rede |
||
Divulgação de informações |
|||
RRAS (Windows Routing and Remote Access Service, serviço de roteamento e acesso remoto do Windows) |
Execução remota de código |
Rede |
|
Execução remota de código |
Local; de convidado para host |
||
Elevação de privilégio |
Local |
||
Elevação de privilégio |
Local |
Este resumo fornece uma visão geral da nossa compreensão e das nossas recomendações atuais, considerando as informações disponíveis. Nossa revisão está em andamento e todas as informações aqui incluídas estão sujeitas a alterações. Você também pode nos visitar no X, anteriormente conhecido como Twitter, para receber atualizações em tempo real.
