As atualizações de dezembro da Microsoft corrigem dezenas de problemas sérios
Não dê aos seus computadores uma folga de final de ano das atualizações regulares deste mês
Após o patch do Adobe Flash Player na semana passada, que corrigiu duas vulnerabilidades, a Microsoft lançou suas atualizações mensais de segurança para dezembro na terça-feira. As correções deste mês abordam 38 vulnerabilidades que afetam o Windows e uma variedade de softwares que são executados no Windows, incluindo os navegadores IE e Edge, o .NET framework, aplicativos do Microsoft Office como Excel, Word, PowerPoint e Outlook e alguns serviços do Windows Server. Além disso, foram lançados patches para duas vulnerabilidades críticas no Adobe Flash e para 85 vulnerabilidades no Adobe Reader.
Além das 38 vulnerabilidades dos produtos da Microsoft, 9 são categorizadas pela Microsoft como críticas e o restante é importante. Cerca de metade das vulnerabilidades críticas permitem que um invasor execute código remoto no sistema alvo, enquanto um punhado pode ser usado para elevar os privilégios na máquina infectada. Por meio de um ataque bem-sucedido de engenharia social (com um site malicioso ou documentos do Office), um invasor externo pode comprometer totalmente a máquina de um usuário segmentado.
Todas as nove vulnerabilidades críticas estão relacionadas à execução remota de código; seis são para Edge, uma para o Internet Explorer, uma injeção remota de código no .NET e uma afeta o Windows DNS Server. Uma das vulnerabilidades do Flash Player (CVE-2018-15982) e uma vulnerabilidade de elevação de privilégio no kernel do Windows NT (CVE-2018-8611) foram observadas a solta, o que as torna um patch obrigatório.
Vamos dar uma olhada mais de perto em algumas das vulnerabilidades interessantes.
CVE-2018-15982 Adobe Flash Player Use após Vulnerabilidade Livre de Execução Remota de Código
Na biblioteca TVSDK, é possível obter um ponteiro pendente que faz referência a uma região de memória antiga e não utilizada. Uma alocação subsequente poderia se sobrepor naquela região de memória antiga, o que poderia levar a um uso após a vulnerabilidade livre. A incompatibilidade de tipo resultante entre o ponteiro pendente e a nova alocação pode levar um invasor remoto a obter execução remota de código. Esta vulnerabilidade foi explorada in-the-wild.
CVE-2018-8611 Kernel do Windows Vulnerabilidade de elevação de privilégio
Kernel do NT no Windows 7 de 64 bits falha em lidar com alguns objetos específicos na memória que podem ser substituídos por dados arbitrários. Um invasor com execução de código na máquina, seja local ou remoto por meio de outra exploração, poderia executar um aplicativo especialmente criado que acionaria a vulnerabilidade para elevar o privilégio para o Sistema. Esta vulnerabilidade foi explorada in-the-wild.
CVE-2018-8583, CVE-2018-8617, CVE-2018-8618, CVE-2018-8624, CVE-2018-8626, CVE-2018-8629 Vulnerabilidade de corrupção de memória do mecanismo de script Chakra
O ChakraCore, o mecanismo JavaScript do navegador da Web Edge, apresenta diversas vulnerabilidades de tipo e vulnerabilidades de gravação fora do limite, que podem levar um invasor remoto, por meio de um site mal-intencionado, a obter o controle da máquina do Windows 10 de destino. As vulnerabilidades, que ainda não foram vistas como exploradas in-the-wild, são abordadas em um único patch, que varia dependendo se o computador está executando a compilação 1703, 1709, 1803 ou 1809 do Windows 10, o que traz sua versão do ChakraCore até 1.11.4.
CVE-2018-8634 Vulnerabilidade de execução remota de código do Text-To-Speech da Microsoft
O recurso de teste para fala da Microsoft, que pode ser acessado com um script JavaScript no navegador da Web Edge, sofre de uma vulnerabilidade de estouro de buffer. Um invasor remoto, por meio de um website, pode acionar a vulnerabilidade e obter a execução de código no computador da vítima.
CVE-2018-8540 .NET Framework Vulnerabilidade de injeção de código remoto
Embora esta vulnerabilidade pareça ruim, ela não foi vista in-the-wild. Os invasores que o utilizam podem executar programas, exibir ou alterar dados ou criar novas contas de usuário no computador afetado. Além disso, a vulnerabilidade exige que um invasor passe dados especialmente criados para um aplicativo .NET vulnerável, portanto, mesmo que o nível de patch seja classificado como crítico, a Microsoft considera a possibilidade real de exploração como “menos provável” – pelo menos no momento. A menos que você queira ser uma cobaia, é melhor que você aplicar o patch agora.
CVE-2018-8631 Internet Explorer Vulnerabilidade de corrupção de memória
Se lembra do Internet Explorer? Os pesquisadores descobriram uma vulnerabilidade fora do limite no mecanismo JScript do Internet Explorer 11 que um invasor remoto poderia utilizar para executar código arbitrário. JScript é o antigo mecanismo JavaScript do Internet Explorer que foi substituído pelo ChakraCore. No entanto, uma página da Web ainda poderia fazer uma solicitação que forçaria o uso do JScript, em vez do ChakraCore, para interpretar seu código JavaScript.
CVE-2018-8626 Servidor DNS do Windows Vulnerabilidade de estouro de heap
O servidor DNS (Sistema de Nomes de Domínio) no Windows 10 ou no Windows Server 2012, 2016, 2019 ou Server Core não processa solicitações remotas adequadamente. Tudo o que é preciso para um invasor remoto executar o Código arbitrary no contexto da altamente privilegiada conta do Sistema Local, e assumir o controle total da máquina, é enviar uma solicitação de DNS devidamente criada.
Como a Sophos está respondendo a essas ameaças?
Aqui está uma lista de proteção lançada pela SophosLabs em resposta a este comunicado para complementar qualquer proteção existente e mitigar possíveis explorações genéricas nos produtos Sophos.
| CVE | SAV | IPS | Intercept-X |
| CVE-2018-15982 | Exp / 201815982-ATroj / SWFExp-OP
Troj / SWFExp-OQ
Troj / SWFExp-OR
Troj / Crisis-B (carga útil) | sid: 2200964 | N/V |
| CVE-2018-8631 | SID: 9000791 | N/V | |
| CVE-2018-8587 | sid: 48407 | ||
| CVE-2018-8617 | sid: 2200885 | ||
| CVE-2018-8624 | sid: 2200967 | ||
| CVE-2018-8583 | sid: 2200965 | ||
| CVE-2018-8618 | sid: 2200966 | ||
| CVE-2018-8625 | sid: 9000788 | ||
| CVE-2018-8628 | sid: 9000789 | ||
| CVE-2018-8629 | sid: 9000790 | ||
| CVE-2018-8631 | sid: 9000791 | ||
| CVE-2018-8634 | sid: 900792 | ||
| CVE-2018-8629 | sid: 9000793 |
N/V = Não Validado. O código PoC fornecido com os avisos do MAPP não inclui exploits ativos e, como tal, não é aplicável ao teste Intercept X. A habilidade Intercept-X de bloquear a exploração depende da abordagem de armamento de exploração real que não veremos até que seja vista na natureza. As detecções de SAV e IPS desenvolvidas para os PoCs não garantem a interceptação de ataques in-the-wild.
Quanto tempo leva para ter a detecção Sophos ativa?
O objetivo é adicionar detecção a problemas críticos com base no tipo e na natureza das vulnerabilidades, o mais rápido possível. Em muitos casos, as detecções existentes detectam tentativas de exploração sem a necessidade de atualizações.
E se a vulnerabilidade/0 dia zero que você está procurando não estiver listada aqui?
Se não foi lançada uma atualização para uma exploração específica, o motivo mais provável é que a Sophos não recebeu os dados que mostram como a exploração funciona no mundo real. Como muitas das explorações deste mês foram criadas em um laboratório e não foram vistas in-the-wild, ninguém tem informações suficientes (ainda) sobre como os criminosos, hipoteticamente, explorariam qualquer vulnerabilidade.
Com informações de Sophos News, da Sophos.
