Como parte do Patch Tuesday desta semana, A Microsoft lançou patches para 44 vulnerabilidades (51 incluindo bugs no Microsoft Edge), sete dos quais foram classificados como críticos, três eram de dia 0, e um já estava sob ataque.
Patches lançados este mês: .NET Core e Visual Studio, ASP.NET Core e Visual Studio, Azul, atualização do Windows, Componentes do spooler de impressão do Windows, Windows Mídia, Windows Defender, Cliente de área de trabalho remota, Microsoft Dynamics, Microsoft borda, Microsoft Office, Microsoft Office Word, Microsoft Office SharePoint e assim por diante.
Este mês, A Microsoft lançou atualizações para duas vulnerabilidades de dia zero que foram relatadas anteriormente. O primeiro deles é o problema PrintNightmare, qual nós escrevemos sobre mais de uma vez. Esta vulnerabilidade permite que um invasor obtenha privilégios de nível de sistema simplesmente conectando-se a um servidor de impressão remoto sob seu controle.
Microsoft agora está confiante que finalmente resolveu este problema, melhorando novas variações. Além disso, os usuários agora precisam de direitos de administrador para instalar Apontar e Imprimir motoristas.
A segunda vulnerabilidade fixa de dia 0 é para Petit Pot, que usa a API MS-EFSRPC para forçar servidores Windows remotos a autenticar um invasor e compartilhar dados de autenticação NTLM ou certificados de autenticação com ele.
Outra vulnerabilidade de dia zero, qual, de acordo com a empresa, já é explorado por hackers, é CVE-2021-36948 (7.8 na escala CVSS). O problema é o escalonamento de privilégios locais no Windows Update Medic. Quem exatamente e como explorou esse bug ainda não foi relatado.
Também, um bug crítico com uma classificação de 9.9 na escala CVSS (afetando o Windows 7-10, Servidor Windows 2008-2019) não pode ser ignorado, pois esta vulnerabilidade está associada ao Windows TCP / IP e leva à execução remota de código (CVE-2021-26424 ); e também o problema de execução remota de código no Remote Desktop Client (CVE-2021-34535), que marcou 8.8 pontos na escala CVSS.
Deixe-me lembrá-lo que no mês passado Microsoft corrigida 117 vulnerabilidades, Incluindo 9 vulnerabilidades de dia zero.