Você instalou o lote mais recente de atualizações de maio da Microsoft 2021 patch Tuesday? Se você não, você deve fazer isso o mais rápido possível, pois contém correções para quatro falhas críticas de segurança.
Maio 2021 patch Tuesday
No geral, esta Patch Tuesday é bastante “modesta,”Contendo correções para apenas 55 falhas. De fato, este é o menor lote de patches da Microsoft desde o ano passado. Mas uma das vulnerabilidades é bastante preocupante, uma vez que cria uma oportunidade moldável para os agentes de ameaça. Não há indicações de que qualquer uma das vulnerabilidades abordadas neste mês seja explorada em liberdade.
assim, quais são as quatro vulnerabilidades críticas que a Microsoft corrigiu este mês?
- CVE-2021-31166: Uma falha de pilha de protocolo HTTP wormable no Windows 10 e algumas versões do Windows Server que podem levar à execução remota de código (RCE) ataques;
- CVE-2021-26419: Uma falha de corrupção de memória do mecanismo de script que reside no Internet Explorer 11 e 9 permitindo RCE;
- CVE-2021-31194: Um bug RCE localizado no Microsoft Windows Object Linking and Embedding (OLE) Automação;
- CVE-2021-28476: Uma vulnerabilidade RCE descoberta no Microsoft Windows Hyper-V.
CVE-2021-31166
A mais perigosa dessas vulnerabilidades é CVE-2021-31166, o problema crítico de wormable. De acordo com Pesquisadores de segurança automox, após a exploração, esta falha pode permitir que invasores não autenticados enviem pacotes maliciosos para um servidor alvo usando a pilha de protocolo HTTP (http.sys) para processar os pacotes e executar código arbitrário. Isso pode levar a assumir o controle do sistema-alvo. A Microsoft também acrescentou que a vulnerabilidade é semelhante a um worm, e que poderia ser implantado para auto-replicação na rede interna, comprometer os serviços internos dentro da organização.
A crescente ameaça das explorações moldáveis
Em uma conversa com o Threatpost, Kevin Breen, da Immersive Labs, disse que a vulnerabilidade CVE-2021-31166 é de grande interesse para operadores de ransomware.
Uma das famílias de ransomware atualizado com uma capacidade de wormable é Ryuk. A capacidade permite que o ransomware se espalhe por redes comprometidas, tornando ainda mais perigoso. O novo recurso malicioso no ransomware foi descoberto pela ANSSI em março. “Uma amostra de Ryuk com recursos semelhantes a worm, permitindo que se espalhe automaticamente nas redes que infecta,foi descoberta durante uma resposta a incidentes tratada pela ANSSI no início de 2021 ”, compartilham os pesquisadores.
Outro exemplo de malware semelhante a um worm recente afeta dispositivos Android. O malware é capaz de responder automaticamente às mensagens de entrada do WhatsApp da vítima com uma carga recebida de seu servidor de comando e controle. A descoberta vem da empresa de segurança Check Point. De acordo com relatório dos pesquisadores, esse recurso pode ter permitido que os agentes de ameaças propagassem ataques de phishing, espalhar informações falsas, ou roubar credenciais e dados confidenciais das contas WhatsApp das vítimas.
“Explorações Wormable devem ser sempre uma alta prioridade, especialmente se forem para serviços projetados para atender ao público. Como este exploit específico não requer qualquer forma de autenticação, é ainda mais atraente para invasores, e qualquer organização usando pilha de protocolo HTTP.sys deve priorizar este patch,”Kevin Breen adicionou.