Como parte do Patch Tuesday de junho, 50 vulnerabilidades em produtos Microsoft foram consertados, incluindo seis vulnerabilidades de dia 0 no Windows.
Vulnerabilidades corrigidas foram encontradas no Microsoft Office, .NET Core e Visual Studio, Navegador de borda, Serviços criptográficos do Windows, SharePoint, Outlook e Excel.
Seis vulnerabilidades de dia zero que já estavam sob ataque também foram abordadas, com um desses problemas claramente usando uma exploração comercial. Foi relatado que os hackers exploraram os seguintes bugs:
- CVE-2021-33742: Vulnerabilidade de execução remota de código na plataforma Windows MSHTML;
- CVE-2021-31955: Vulnerabilidade de divulgação de informações do kernel do Windows;
- CVE-2021-31956: Vulnerabilidade de elevação de privilégios NTFS do Windows;
- CVE-2021-31962: Vulnerabilidade de desvio do Kerberos AppContainer;
- CVE-2021-31199: Vulnerabilidade de escalonamento de privilégios do provedor criptográfico aprimorado da Microsoft;
- CVE-2021-31201: Vulnerabilidade de escalonamento de privilégios no Microsoft Enhanced Cryptographic Provider.
Detalhes das vulnerabilidades ainda não foram divulgados para dar aos usuários e administradores mais tempo para instalar patches (antes que os invasores pudessem entender como esses bugs podem ser explorados).
O fato de quatro dos seis problemas serem vulnerabilidades de elevação de privilégios sugere que os invasores podem tê-los explorado como parte da cadeia de infecção para obter permissões elevadas nos sistemas alvo. (para posteriormente executar código malicioso ou roubar informações confidenciais).
No entanto, sabe-se um pouco mais sobre o CVE-2021-33742 erro (uma vulnerabilidade RCE no componente MSHTML, que faz parte do navegador Internet Explorer). Por exemplo, O analista do Google, Shane Huntley, escreve no Twitter que esse problema não é usado apenas para ataques, mas uma exploração parece ter sido desenvolvida por um corretor profissional de vulnerabilidades comerciais. Segundo o especialista, a exploração foi usada por hackers governamentais para atacar alvos na Europa Oriental e no Oriente Médio.
A Microsoft também escreve que os patches para CVE-2021-31201 e CVE-2021-31199 estão relacionados com a questão RCE CVE-2021-28550, que foi corrigido pelos desenvolvedores da Adobe no mês passado.
Tradicionalmente, nós notamos que “atualização terça-feira” afeta não apenas as soluções da Microsoft. Outros fabricantes também lançaram patches para seus produtos esta semana.
Adobe: Atualizações anunciadas para dez produtos, consertando 39 erros diferentes. O primeiro lugar foi para After Effects com oito vulnerabilidades críticas que pode ser explorado para executar código (todos avaliados 7.8 na escala CVSS). Cinco questões críticas foram corrigidos no Acrobat e no Reader, todos os quais permitem a execução arbitrária de código, e duas falhas críticas foram corrigidos no Photoshop.
Informações: Publicado 29 boletins de segurança cobrindo 79 vulnerabilidades diferentes. Mais da metade desses problemas foram identificados dentro da empresa, e outro 40% eram os resultado do programa de recompensas de bugs.
SEIVA: A empresa apresentou 17 boletins de segurança. Quase todos os bugs corrigidos eram quase inofensivos, além de alguns problemas importantes que permitem a execução remota de código.
Android: O Google corrigiu 50 vulnerabilidades em seu sistema operacional móvel, incluindo vários críticos. O mais grave destes, CVE-2021-0507, pode ser usado para execução remota de código. O bug afeta o Android 8.1, 9, 10 e 11, bem como outra falha crítica, CVE-2021-0516, que pode ser usado para escalonamento de privilégios.
Deixe-me lembrá-lo que falei sobre o fato de que Hackers contornam firewalls usando recurso do Windows.