Na semana passada, a Microsoft lançou patches para vulnerabilidades de segurança encontradas no Windows e em seus outros produtos. O segundo pacote de atualizações de segurança deste ano traz correções para 56 vulnerabilidades, incluindo uma falha zero day que está sendo ativamente explorada.
A vulnerabilidade de escalonamento de privilégios, registrada como CVE-2021-1732 e classificada como "importante" na escala do Common Vulnerability Scoring System (CVSS), reside no Win32k, um componente do kernel do Windows. De acordo com o SANS Technology Institute, trata-se de uma vulnerabilidade local e “um atacante teria que ter acesso local à máquina (console ou SSH, por exemplo) ou depender da interação do usuário, como, por exemplo, abrir um documento malicioso”.
A falha gerou uma resposta da Cybersecurity and Infrastructure Security Agency (CISA), que rapidamente emitiu um comunicado de segurança em relação à vulnerabilidade: “A CISA incentiva os usuários e administradores a revisar o comunicado da Microsoft para a falha CVE-2021-1732 e aplicar o patch necessário para o Windows 10 e o Windows Servidores 2019 ”.
Além da falha zero day, o último pacote de atualizações também inclui correções para 11 falhas de segurança consideradas críticas. Entre essas falhas, seis delas já estavam listadas como publicamente conhecidas no momento do lançamento da atualização. A grande maioria das outras falhas foram classificados como “importantes” e duas foram classificados como “moderadas”, segundo sua gravidade.
Entre as classificadas como críticas, quatro vulnerabilidades de execução remota de código (RCE) obtiveram uma “pontuação perfeita” de 9,8 sobre 10 na escala de segurança do CVSS.
A primeira falha, registrada como CVE-2021-24078, pode ser encontrada no servidor DNS da Microsoft e pode permitir que um atacante execute código de forma remota. O SANS Institute também alertou que, uma vez que a vulnerabilidade não requer nenhuma interação do usuário, ela pode ser explorada por um malware com características de worm.
Também foram descobertas outras duas vulnerabilidades críticas de RCEs (CVE-2021-24074 e CVE-2021-24094) que afetam a implementação de TCP/IP do Windows. Embora a Microsoft tenha dito que seria difícil criar exploits funcionais para essas falhas, a empresa acredita que os atacantes podem explorá-las junto com uma vulnerabilidade de Negação de Serviço (DoS) registrada como CVE-2021-24086 em um ataque de DoS.
As atualizações de segurança foram lançadas para vários tipos de produtos Windows, como o Microsoft Office e o Skype for Business, por exemplo.
Os administradores de sistema e os usuários são aconselhados a aplicar os patches o mais rápido possível.