No pacote de patches de segurança lançado nesta terça-feira pela Microsoft, foram fornecidas correções para 63 vulnerabilidades e exposições. Cinco das vulnerabilidades são consideradas “Críticas”, 57 delas são “Importantes” e uma é classificada como “Moderada”.
Especificamente, as falhas são compostas por uma vulnerabilidade de desvio de recurso de segurança, sete vulnerabilidades de divulgação de informações, sete vulnerabilidades de negação de serviço, 18 vulnerabilidades de elevação de privilégio e 30 vulnerabilidades de execução remota de código. Se as vulnerabilidades corrigidas no Microsoft Edge antes deste Patch Tuesday forem adicionadas, o número total de CVEs aumentará para 79.
Duas dessas vulnerabilidades foram divulgadas publicamente como vulnerabilidades de dia zero, com uma delas (rastreada como “ CVE-2022-37969 – Windows Common Log File System Elevation of Vulnerabilidade de Privilégios”) descrita como “explorada”.
“Um invasor que explorou com sucesso essa vulnerabilidade pode obter privilégios de SISTEMA”, disse a Microsoft em um comunicado. No entanto, a gigante da tecnologia considera a gravidade da vulnerabilidade “Baixa”, já que a “técnica não permite a execução remota de código nos casos em que o invasor ainda não possui essa capacidade no sistema de destino”. Outros especialistas em segurança, no entanto, não estão satisfeitos com a declaração da Microsoft e expressaram suas preocupações.
“A vulnerabilidade [CVE-2022-37969] é classificada como Importante, mas com vários fornecedores reconhecidos pela divulgação coordenada e confirmados explorações em estado selvagem, esta vulnerabilidade deve ser tratada como uma gravidade crítica devido ao risco”, disse Chris Goettl, vice-presidente de gerenciamento de produtos para produtos de segurança da Ivanti, a Redmond Magazine.
Mike Walters, executivo de segurança cibernética e cofundador do software de monitoramento e gerenciamento remoto Action1 Corporation, também disse que a “baixa complexidade” do CVE-2022-37969 pode ser um problema.
“Nenhum outro detalhe técnico [sobre o CVE-2022-37969] está disponível, mas como a vulnerabilidade tem baixa complexidade e não requer interação do usuário, uma exploração provavelmente estará em breve no arsenal de chapéus brancos e chapéus pretos”, Walte rs disse à Redmond Mag.
Enquanto isso, o Microsoft Dynamics 365 é afetado por duas (CVE-2022-34700 e CVE-2022-35805) das cinco vulnerabilidades críticas que podem permitir a execução remota de código. Dois deles (CVE-2022-34721 e CVE-2022-34722) estão vinculados às extensões do protocolo Windows Internet Key Exchange, enquanto o último (CVE-2022-34718) tem algo a ver com Windows e TCP/IP.
p>
A última das cinco vulnerabilidades críticas, CVE-2022-34718, é descrita como “a vulnerabilidade mais séria” por pesquisadores de segurança em Cisco Talos, pois tem uma classificação CVSS de 9,8 em 10. A Microsoft também o descreveu como”exploração mais provável”. No entanto, Dustin Childs de recompensa de bug independente do fornecedor A Zero Day Initiative da Trend Micro disse que os sistemas com IPv6 habilitado e IPSec configurado são os únicos afetados. “Embora seja uma boa notícia para alguns, se você estiver usando IPv6 (como muitos estão), provavelmente também está executando o IPSec. Definitivamente, teste e implante esta atualização rapidamente”, acrescentou Childs.
Por outro lado, enquanto as duas vulnerabilidades críticas, CVE-2022-34721 e CVE-2022-34722, afetam todos os produtos Windows Server e têm 9.8 Pontuações CVSS, Walters disse que”ambos têm baixa complexidade para exploração.”
