No boletim de segurança desta semana, discutiremos várias questões e vulnerabilidades descobertas em projectos de código aberto e Windows.
Linux Kernel use-after-free no subsistema netfilter
Foi identificada uma vulnerabilidade de escrita de uso após livre no interior do subsistema netfilter do kernel Linux. O desencadeamento desta questão requer o privilégio de criar espaços de nomes de utilizadores/redes no sistema, e esta vulnerabilidade pode ser explorada para se conseguir uma escalada de privilégios para enraizar nos sistemas afectados.
Esta fraqueza está relacionada com a incapacidade de remover uma expressão da lista de encadernações de um conjunto antes de destruir a expressão. Verificou-se que isto afecta múltiplas expressões, mas no mínimo as expressões "lookup" e "tinturaria".
Esta acção cria um estado em que qualquer utilização subsequente da lista vinculativa estabelecida acabará por escrever um endereço de apontador de ligação num objecto de placa que já foi libertado e possivelmente reafectado. Para mais detalhes sobre esta vulnerabilidade, pode consultar a revelação original pelo investigador. O patch para mitigar a vulnerabilidade foi cometido a 26 de Maio de 2022.
Ataque à cadeia de fornecimento de software utilizando "ctx" e "phpass
Dois pacotes maliciosos Python e PHP foram descobertos, levando a cabo um ataque à cadeia de fornecimento de software visando o ecossistema de código aberto. Um dos pacotes é "ctx," um módulo Python disponível no repositório PyPi. O outro envolve o "phpass", um pacote PHP que foi bifurcado no GitHub para distribuir uma actualização desonesta.
Uma actualização maliciosa foi introduzida na "ctx" a 21 de Maio de 2022. Ambos os pacotes não são mantidos, sendo a última actualização legítima para "ctx" lançada a 19 de Dezembro de 2014 e, no caso do "phpass", a 31 de Agosto de 2012. No seu núcleo, as modificações são concebidas para exfiltrar AWS credenciais para um URL de Heroku e parece que o perpetrador está a tentar obter todas as variáveis de ambiente, codificá-las na Base64, e encaminhar os dados para uma aplicação web sob o controlo do perpetrador.
O indivíduo responsável foi capaz de sequestrar a conta PyPi abandonada do mantenedor, comprando o seu domínio expirado e enviando a si próprio um link de redefinição de senha.
Follina - Vulnerabilidade RCE em Microsoft Support Diagnostic Tool (MSDT) no Windows
Existe uma vulnerabilidade de execução de código remoto quando o MSDT é chamado usando o protocolo URL de uma aplicação de chamada como o Word. Este documento malicioso utiliza a funcionalidade de modelo remoto do Word para recuperar um ficheiro HTML de um servidor web remoto, que por sua vez utiliza o esquema ms-msdt MSProtocol URI para carregar algum código e executar algum PowerShell. CVE-2022-30190 um dia zero permitindo a execução de código em produtos Office.
Um atacante que explora com sucesso esta vulnerabilidade pode executar um código arbitrário com os privilégios da aplicação de chamada. O atacante pode então instalar programas, visualizar, alterar ou apagar dados, ou criar novas contas no contexto permitido pelos direitos do utilizador.
A Microsoft diz que a falha tem impacto em todas as versões do Windows que ainda recebem actualizações de segurança (Windows 7+ e Server 2008+). Segundo o fornecedor, administradores e utilizadores podem bloquear ataques explorando o CVE-2022-30190, desactivando o protocolo URL MSDT, que os actores maliciosos utilizam para lançar os detectores de problemas e executar código em sistemas vulneráveis. Consulte a orientação de segurança da Microsoft para desactivar o protocolo URL MSDT num dispositivo Windows. Depois de a Microsoft lançar um patch, pode desfazer o trabalho e aplicar os patches recomendados.
Comentários