A Microsoft lançou nesta terça-feira, 9, seu Patch Tuesday de abril com um enorme lote de correções de segurança com cobertura para ao menos 150 vulnerabilidades e chama atenção para uma falha que permite que hackers assumam o controle total de clusters Azure Kubernetes.
A vulnerabilidade, rastreada como CVE-2024-29990, permite que um hacker roube credenciais e afete recursos além do escopo de segurança gerenciado pelo Azure Kubernetes Service Confidential Containers (AKSCC), disse a empresa em um comunicado.
A equipe de resposta de segurança da Microsoft disse que o bug no Azure Kubernetes Service carrega um escore de gravidade de 9 no sistema de pontuação comum de vulnerabilidades (CVSS) e pode ser explorado para assumir o controle de usuários convidados e contêineres confidenciais além da pilha de rede à qual pode estar vinculado. “Um invasor pode mover a mesma carga de trabalho para uma máquina que ele controla, em que ele assumo privilégios de root [administrador do sistema]”, alertou a Microsoft.
O bug do Azure Kubernetes Service encabeça um enorme pacote de patches que inclui correções para um trio de bugs de execução remota de código no Microsoft Defender para IoT (internet das coisas) e um desvio de inicialização segura do Windows de gravidade crítica que está marcado como já explorado.
A empresa documentou dezenas de problemas de execução remota de código que afetam o sistema operacional Windows e componentes de software, o pacote de produtividade Microsoft Office, Microsoft SQL Server, DNS Server, Visual Studio e Bitlocker.
Veja isso
Campanha maliciosa afeta centenas de contas do Azure
Hackers atacam Azure por meio de servidores SQL violados
De acordo com a ZDI, empresa que monitora o lançamento de patches de software, este é o maior lançamento da Microsoft desde pelo menos 2017. Além das atualizações de segurança para 150 falhas, foram corrigidos 67 bugs de execução remota de código (RCE). Mais da metade das falhas do RCE são encontradas nos drivers do Microsoft SQL, provavelmente compartilhando uma falha comum.
Também houve correções para vinte e seis desvios de inicialização segura lançados este mês, incluindo dois da Lenovo.
O número de bugs em cada categoria de vulnerabilidade está listado abaixo:
- 31 Vulnerabilidades de elevação de privilégio
- 29 Vulnerabilidades de desvio de recursos de segurança
- 67 Vulnerabilidades de execução remota de código
- 13 Vulnerabilidades de divulgação de informações
- 7 Vulnerabilidades de negação de serviço
- 3 vulnerabilidades de falsificação
O Patch Tuesday deste mês não inclui cinco falhas do Microsoft Edge corrigidas no dia 4 e duas falhas do Mariner, distribuição Linux de código aberto desenvolvida pela Microsoft para seus serviços Microsoft Azure.
