No boletim de segurança desta semana, discutiremos várias questões e vulnerabilidades descobertas em projetos de código aberto e no Windows.
Linux Kernel use-after-free no subsistema netfilter
Foi identificada uma vulnerabilidade de escrita após o uso livre dentro do subsistema netfilter do kernel Linux. Acionar esta questão requer o privilégio de criar espaços de nomes de usuários/redes no sistema, e esta vulnerabilidade pode ser explorada para obter uma escalada de privilégios para enraizar nos sistemas afetados.
Esta fraqueza está relacionada ao fracasso em remover uma expressão da lista de encadernações de um conjunto antes de destruir a expressão. Descobriu-se que isto afeta múltiplas expressões, mas no mínimo as expressões "lookup" e "dynset".
Esta ação cria um estado em que qualquer uso subseqüente da lista vinculativa estabelecida acabará escrevendo um endereço de apontador de link em um objeto de placa que já foi liberado e possivelmente realocado. Para maiores detalhes sobre esta vulnerabilidade, você pode consultar a divulgação original feita pelo pesquisador. O patch para mitigar a vulnerabilidade foi cometido em 26 de maio de 2022.
Ataque à cadeia de fornecimento de software usando "ctx" e "phpass".
Dois pacotes maliciosos Python e PHP foram descobertos realizando um ataque à cadeia de fornecimento de software visando o ecossistema de código aberto. Um dos pacotes é o "ctx", um módulo Python disponível no repositório PyPi. O outro envolve "phpass", um pacote PHP que foi bifurcado no GitHub para distribuir uma atualização desonesta.
Uma atualização maliciosa foi introduzida na "ctx" em 21 de maio de 2022. Ambos os pacotes não são mantidos com a última atualização legítima para "ctx" sendo lançada em 19 de dezembro de 2014 e, no caso do "phpass", em 31 de agosto de 2012. Em sua essência, as modificações são projetadas para exfiltrar AWS credenciais para uma URL de Heroku e parece que o perpetrador está tentando obter todas as variáveis de ambiente, codificá-las na Base64, e encaminhar os dados para uma aplicação web sob o controle do perpetrador.
O indivíduo responsável foi capaz de seqüestrar a conta PyPi abandonada do mantenedor, comprando seu domínio expirado e enviando a si mesmo um link de redefinição de senha.
Follina - Vulnerabilidade RCE na Ferramenta de Diagnóstico de Suporte Microsoft (MSDT) no Windows
Existe uma vulnerabilidade de execução de código remoto quando o MSDT é chamado usando o protocolo URL de uma aplicação de chamada como o Word. Este documento malicioso usa o recurso de modelo remoto do Word para recuperar um arquivo HTML de um servidor web remoto, que por sua vez usa o esquema ms-msdt MSProtocol URI para carregar algum código e executar algum PowerShell. CVE-2022-30190 um dia zero permitindo a execução de código em produtos Office.
Um atacante que explora com sucesso esta vulnerabilidade pode executar um código arbitrário com os privilégios da aplicação de chamada. O atacante pode então instalar programas, visualizar, alterar ou apagar dados, ou criar novas contas no contexto permitido pelos direitos do usuário.
A Microsoft diz que a falha afeta todas as versões do Windows que ainda recebem atualizações de segurança (Windows 7+ e Server 2008+). De acordo com o fornecedor, administradores e usuários podem bloquear ataques explorando o CVE-2022-30190 desativando o protocolo MSDT URL, que os atores maliciosos usam para lançar os solucionadores de problemas e executar código em sistemas vulneráveis. Consulte a orientação de segurança da Microsoft para desativar o protocolo MSDT URL em um dispositivo Windows. Após a Microsoft lançar um patch, você pode desfazer a solução e aplicar os patches recomendados.
Comentários