Correções da Microsoft 81 insetos, incluindo vulnerabilidade sob ataques

Microsoft fixes 81 bugs

Microsoft lançou atualizações por seus produtos: no total, este mês a empresa corrigiu 74 insetos (81 se incluir vulnerabilidades no Microsoft Edge), três dos quais são classificados como críticos, quatro têm o status de vulnerabilidades de dia zero, e um problema já foi adotado por hackers.

Das quatro vulnerabilidades de dia 0 sob ataque, já havia um problema de escalonamento de privilégios relacionado à operação do driver do kernel Win32k. O problema foi identificado como CVE-2021-40449 (7.8 na escala CVSS) e foi descoberto por especialistas da Kaspersky Lab.

Em um relatório detalhado, os especialistas disseram que a vulnerabilidade pertence à classe use-after-free e foi encontrada na função NtGdiResetDC do driver Win32k. Ele vaza os endereços dos módulos do kernel na memória do computador, e como resultado, os invasores o usam para elevar os privilégios de outro processo malicioso.

O bug teria sido abusado por hackers chineses que baixaram e lançaram o RAT MysterySnail com ele. É relatado que o MysterySnail é mais frequentemente usado em operações de espionagem contra empresas de TI, organizações diplomáticas e empresas que trabalham para a indústria de defesa.

Os especialistas conseguiram encontrar uma série de semelhanças no código e nas funções do MysterySnail e no malware usado pelo conhecido grupo IronHusky. Também, Algum c&Endereços C já eram usados ​​em 2012 em ataques de um grupo APT usando a língua chinesa.

Em primeiro lugar, o Trojan coleta informações sobre o sistema infectado e as envia para o C&Servidor C. Depois disso, através do MysterySnail, os invasores podem emitir vários comandos: por exemplo, criar, ler, ou exclua um arquivo específico, criar ou excluir um processo, baixar uma lista de diretórios, abra um canal proxy e envie dados através dele.

Além disso, funções bastante interessantes foram implementadas no Trojan. Então, Trojan não só sabe como visualizar a lista de unidades conectadas, mas também pode monitorar a conexão de unidades externas em segundo plano. Além disso, o Trojan pode iniciar o shell interativo cmd.exe, tendo copiado anteriormente o próprio arquivo cmd.exe para uma pasta temporária com um nome diferente.a Kaspersky Lab disse.

A exploração para CVE-2021-40449 suporta vários sistemas operacionais da família Microsoft Windows: Vista, 7, 8, 8.1, Servidor 2008, Servidor 2008 R2, Servidor 2012, Servidor 2012 R2, Windows 10 (construir 14393), Servidor 2016 (construir 14393 ), 10 (construir 17763), e servidor 2019 (construir 17763). Mas, de acordo com os especialistas, foi escrito especificamente para elevar privilégios em versões de servidor do sistema operacional.

Também, como acima mencionado, este mês a Microsoft corrigiu três outras vulnerabilidades divulgadas publicamente, qual, no entanto, não foram usados ​​em ataques de hackers:

  • CVE-2021-40469 (CVSS 7,2) – vulnerabilidade no servidor DNS do Windows, levando à execução remota de código;
  • CVE-2021-41335 (CVSS 7.8) – Vulnerabilidade de escalonamento de privilégios do kernel do Windows;
  • CVE-2021-41338 (CVSS 5.5) – Uma vulnerabilidade de desvio nas regras do Windows AppContainer Firewall.

Deixe-me lembrá-lo de que também relatei que Novo recurso no Exchange Server aplicará correções automaticamente.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *