Como parte de seu programa de patches, a Microsoft lançou em abril correções para um total de 114 falhas de segurança, incluindo uma de dia zero explorada ativamente e quatro bugs de execução remota de código no Exchange Server. Das 114 falhas, 19 foram classificadas como críticas, 88 como bugs importantes e uma, classificada como de moderada gravidade.
A principal delas, referenciada como CVE-2021-28310, é uma vulnerabilidade de escalonamento de privilégios no Win32k que está sob exploração ativa, permitindo que invasores elevem privilégios executando código malicioso em um sistema.
A empresa de segurança cibernética Kaspersky, que descobriu e relatou a falha à Microsoft em fevereiro, vinculou a exploração de dia zero a um grupo que opera ameaças persistentes avanças chamado Bitter, que foi descoberto explorando uma falha semelhante (CVE-2021-1732) no ano passado.
“É uma exploração que permite elevar os privilégios [escalation of privilege ou EoP, em inglês] que provavelmente é usada junto com outras explorações de navegador para escapar de sandboxes ou obter privilégios de sistema para acesso posterior”, disse Boris Larin, pesquisador da Kaspersky.
Novos bugs afetam o Exchange Server
Também corrigidas pela Microsoft estão quatro falhas de execução remota de código (RCE) — CVE-2021-28480 até CVE-2021-28483 — que afetam os Exchange Servers on premises, versões 2013, 2016 e 2019, que foram relatadas à empresa pela Agência de Segurança Nacional (NSA) dos EUA. Dois dos bugs de execução de código não são autenticados e não requerem interação do usuário, além de apresentarem uma pontuação de 9,8 no CVSS (sistema de pontuação comum de vulnerabilidades).
Veja isso
Exploits do Exchange agora são usados por botnet para minerar criptomoeda
Microsoft diz que ações de ransomware contra o Exchange têm sido ‘limitadas’
Embora a Microsoft tenha dito não ter encontrado nenhuma evidência de explorações ativas, é recomendado que os clientes instalem essas atualizações o mais rápido possível para proteger o ambiente, à luz dos ataques generalizados do Exchange Server no mês passado e das novas descobertas de que os invasores estão tentativa de aproveitar o exploit ProxyLogon para implantar criptomineradores maliciosos em servidores Exchange, com a carga sendo hospedada em um Exchange Server comprometido.
A Agência de Segurança Cibernética e de Infraestrutura (CISA) dos Estados Unidos também revisou a diretriz de emergência emitida no mês passado, afirmando que “essas vulnerabilidades representam um risco inaceitável para a empresa federal e exigem uma ação imediata e de emergência”, enquanto adverte que as falhas subjacentes podem ser transformadas em armas pela engenharia reversa do patch para criar um exploit.
FBI remove backdoors do Exchange Server
Além disso, o FBI realizou uma “ação bem-sucedida” para “copiar e remover” projéteis da web plantados por adversários em centenas de computadores vítimas usando as falhas do ProxyLogon. Diz-se que a polícia federal americana limpou os invólucros da web que foram instalados pelo grupo de hackers Hafnium que poderiam ter sido usados para manter e obter acesso persistente e não autorizado às redes dos EUA.
“O FBI realizou a remoção emitindo um comando através do shell da web para o servidor, que foi projetado para fazer com que o servidor excluísse apenas o shell da web (identificado por seu caminho de arquivo exclusivo)”, disse o Departamento de Justiça em um comunicado detalhando a operação autorizada pelo tribunal.
