Microsoft corrige seis bugs críticos no Patch Tuesday de junho

Vulnerabilidades críticas abordadas neste mês incluem quatro bugs de execução remota de código: três no Windows Pragmatic General Multicast e um no .NET/Visual Studio
Da Redação
14/06/2023

A Microsoft corrigiu seis vulnerabilidades críticas no Patch Tuesday deste mês que, pela primeira vez desde março de 2022, não apresentou nenhuma reparação de bug de dia zero. As vulnerabilidades críticas abordadas neste mês incluem quatro bugs de execução remota de código: três no Windows Pragmatic General Multicast e um no .NET/Visual Studio.

As outras duas vulnerabilidades críticas foram um bug de elevação de privilégio do SharePoint e um de negação de serviço no servidor Hyper-V da Microsoft, cujo escore no sistema de pontuação comum de vulnerabilidades (CVSS) é de 6.5.

O Patch Tuesday também incluiu patches para mais 67 CVEs (vulnerabilidades e exposições comuns) que foram classificados como menos críticos, juntamente com 22 correções de terceiros lançadas anteriormente que a Microsoft adicionou ao seu guia de atualização de segurança.

Dos seis bugs classificados como críticos, a vulnerabilidade do SharePoint (CVE-2023-29357) foi a única sinalizada pela Microsoft como “exploração mais provável”, o que significa que deve ser uma prioridade para as equipes de segurança abordarem. Ele tem uma pontuação CVSSv3 muito alta, de 9.8, e, embora não tenha sido detectado, permite que invasores usem tokens da web JSON falsificados para obter privilégios de administrador no host do SharePoint.

As três vulnerabilidades críticas de execução remota de código no Windows PGM (CVE-2023-29363, CVE-2023-32014 e CVE-2023-32015) também tiveram pontuações CVSS de 9.8. Eles permitiriam que um invasor tentasse acionar um código malicioso enviando um arquivo especialmente criado pela rede quando o serviço de enfileiramento de mensagens do Windows estiver sendo executado em um ambiente de servidor PGM.

A exploração da vulnerabilidade crítica .NET/Visual Studio (CVE-2023-24897), com uma pontuação CVSS de 7.8, exige que um invasor induza a vítima a abrir um arquivo malicioso especialmente criado, geralmente de um site.

Veja isso
Patch Tuesday: Microsoft corrige 97 bugs e uma falha de dia zero
Primeiro Patch Tuesday de 2023 corrige 98 falhas e 1 dia zero

Em uma postagem no blog Patch Tuesday de junho, Dustin Childs, da Zero Day Initiative da Trend Micro, disse que o bug parecia afetar todas as versões suportadas do .NET, .NET Framework e Visual Studio. “É um tipo de exploit aberto e próprio, mas adivinhando pela classificação crítica, parece que não há caixas de diálogo de aviso ao abrir o arquivo desonesto”, disse ele.

A vulnerabilidade Windows Hyper-V DoS (CVE-2023-32013) teve pontuação CVSS de 6.5. “A classificação crítica aqui implica que um sistema operacional convidado pode desligar o sistema operacional host ou, pelo menos, causar alguma forma de condição DoS”, disse Childs.

As outras 61 vulnerabilidades não críticas cobertas pela Microsoft este mês abrangem uma variedade de ambientes e soluções, incluindo Windows, Office, Exchange Server, Visual Studio, Teams, Azure DevOps, Dynamics e Remote Desktop Client.Tal como acontece com as vulnerabilidades críticas, os bugs RCE tiveram destaque, respondendo por 22 — ou mais de um terço — dos CVEs classificados como “importantes”. “Esse volume de correções é ligeiramente maior do que o número típico de correções para junho, mas não extraordinariamente”, disse Childs.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)