A Microsoft lançou as atualizações de segurança do Patch Tuesday de maio abordando aproximadamente 60 vulnerabilidades em vários produtos de software e chamou atenção para um dia zero explorado ativamente, relatado por várias equipes externas de caça a ameaças.
O bug de dia zero, identificado como CVE-2024-30051, está documentado como um buffer overflow baseado em heap na biblioteca principal do Windows Desktop Window Manager (DWM) que já foi explorado em ataques que exigem privilégios elevados a sistemas. O bug foi classificado com gravidade de 7.8/10 no sistema de pontuação comum de vulnerabilidades (CVSS).
A gigante do software atribuiu os créditos aos pesquisadores de segurança da Kaspersky, da DBAPP Security e ao Grupo de Análise de Ameaças do Google por identificarem e relatarem o problema, sugerindo que ele já pode ter sido usado além de ataques direcionados.
Como é de costume, a Microsoft não compartilhou detalhes sobre os indicadores de comprometimento (IoCs)para ajudar os profissionais de segurança a procurar sinais de invasões.
A Microsoft também marcou o CVE-2024-30040 na categoria já explorada, alertando que os invasores estão ignorando os recursos de segurança do Microsoft 365 e do Office. A falha, que tem uma pontuação de 8,8 no CVSS, permite que invasores executem código arbitrário se um usuário estiver induzindo-o a carregar arquivos maliciosos.
Veja isso
Microsoft alerta sobre ataque Dirty Stream a aplicativos Android
Microsoft limitará e-mails do Exchange Online contra spam
A empresa também pediu aos administradores do Windows que prestassem atenção ao CVE-2024-30044, uma vulnerabilidade de execução remota de código de gravidade crítica no Microsoft Sharepoint. “Um invasor autenticado com permissão de proprietário do site pode usar a vulnerabilidade para injetar código arbitrário e executar esse código no contexto do SharePoint Server”, alertou o centro de resposta de segurança da Microsoft.
“Um invasor autenticado com permissões de proprietário do site ou superior pode fazer upload de um arquivo especialmente criado para o Sharepoint Server alvo e criar solicitações de API especializadas para acionar a desserialização dos parâmetros do arquivo. Isso permitiria ao invasor executar execução remota de código no contexto do servidor Sharepoint”, acrescentou a empresa.