Olá, forasteiro, seja bem-vindo ao último patch Tuesday do ano, finalmente quebraremos atualizaremos nosso ambiente para consertar as diversas brechas de segurança que foram encontradas. Faça uma pausa no planejamento das férias e de procurar casa na praia, pegue seu café e peça um pão na chapa e vamos lá.

CVE-2021-44228: Log4j (Log4Shell)

Apesar de não ser um patch Microsoft, vamos falar brevemente sobre a vulnerabilidade do momento.

Ao menos que você se escondeu embaixo de uma pedra ou em um abacaxi no fundo do mar, se abriu qualquer navegador de internet nesses últimos dias, mesmo que seja apenas para verificar as redes sociais, você deve ter visto, mesmo que “por cima” falar dessa vulnerabilidade. Basicamente uma vulnerabilidade na biblioteca de registro Java, conhecida como Log4j. Essa vulnerabilidade permite RCEs em aplicativos e servidores afetados. O grande problema é que são milhões de dispositivos afetados por essa vulnerabilidade e alguns dizem que essa biblioteca é quase onipresente, o que aumenta ainda mais o risco, vamos pegar emprestado mostrar como funciona a infecção:

 


 

Os produtos afetados são “infinitos” e vão desde servidores como o Apache até jogos consagrados no mercado, aplicativos bancários e financeiros etc. e estão sendo usados principalmente para minerar criptomoedas ou sequestrar os dados através de ransomware.

A Trend Micro lançou uma ferramenta para realizar a verificação da vulnerabilidade em seus sistemas, basta acessar https://log4j-tester.trendmicro.com

Voltando a programação normal

Para esse mês, a Microsoft lançou correções para 67 novos CVEs no Microsoft Windows e nos componentes do Windows, ASP.NET Core e Visual Studio, Azure Bot Framework SDK, Internet Storage Name Service, Defender for IoT, MsEdge (baseado no Chromium), Microsoft Office e Componentes do Office, SharePoint Server, PowerShell, RDP, Windows Hyper-V, Gerenciamento de Dispositivos Windows Mobile, Gerenciador de Conexão de Acesso Remoto do Windows, TCP/IP e o Windows Update. Isso é uma adição aos 16 CVEs corrigidos pelo Microsoft Edge (baseado no Chromium) no início deste mês, o que eleva o total de dezembro para 83 CVEs.

Isso faz com que as CVEs corrigidas pela Microsoft durante o ano de 2021 atinjam o número total de 887, 29% menor se comparado a 2020 mas lembrando que exclui o MsEdge (baseado no Chromium). Vale lembrar que apesar de ser praticamente um “ritual”, esse mês não temos correções do Exchange Server para nos preocuparmos.

De todos os CVEs corrigidos, sete são críticos e 60 são importantes. 5 Dessas falhas são listadas como públicas e estão sendo utilizadas em ataques. Vamos a lista:

  • CVE-2021-43215 – iSNS Server RCE

A atualização corrige uma falha no servidor Internet Storage Name Service, mais conhecido como iSNS, que pode permitir uma execução de código remota (RCE). Se está na dúvida se executa ou não o protocolo iSNS dentro da sua rede na maioria dos cenários se você utiliza uma SAN (Storage Area Network) você deve utilizar o iSNS para realizar a descoberta e gestão de maneira automática dos dispositivos iSCSI. O CVSS é de 9.8 e se você possuí uma SAN, recomendamos os testes e implementação desse patch o mais rápido possível.

  • CVE-2021-42309 Microsoft SharePoint Server RCE

Essa vulnerabilidade permite que um usuário execute código no contexto da conta de serviço ou seja, acaba também sendo um EoP (Escalação de privilégio). O atacante precisaria de permissões “Gerenciar Listas” em um site do SharePoint, mas por padrão, qualquer usuário autorizado pode criar seu próprio novo site onde tenha permissões totais. Essa falha permite que um invasor ignore a restrição contra a execução de controles da web arbitrários do lado do servidor.

Esses são os destaques do mês, você encontra a lista com as vulnerabilidades clicando aqui.

Nosso próximo patch Tuesday deve sairá no dia 12 de janeiro, então nos vemos lá. Até lá desejo um feliz natal, um ótimo ano novo, fique seguro, beba com moderação e que todos as aplicações de patch sejam concluídas com sucesso.

Quer saber mais? Fale conosco e veja como podemos te ajudar!

 

That’s all Folks!