Patch terça-feira de março de 2022: Microsoft corrige RCEs no cliente RDP, Exchange Server
A Microsoft marca a Patch Tuesday de março de 2022 com patches para 71 vulnerabilidades numeradas CVE, incluindo três “críticas” anteriormente desconhecidas e três “importantes” que já eram públicas (mas não exploradas ativamente por invasores).
Notas da Vulnerabilidade
CVE-2022-21990 , uma falha de execução remota de código (RCE) do Remote Desktop Client conhecida publicamente, deve ser corrigida rapidamente.
“Se um invasor puder atrair um cliente RDP afetado para se conectar ao servidor RDP, o invasor poderá acionar a execução de código no cliente alvo”, diz Dustin Childs, da Zero Day Initiative da Trend Micro .
Entre as vulnerabilidades críticas, um RCE no Microsoft Exchange Server ( CVE-2022-23277 ) também merece atenção imediata.
“A vulnerabilidade permitiria que um invasor autenticado executasse seu código com privilégios elevados por meio de uma chamada de rede. Isso também está listado como de baixa complexidade com maior probabilidade de exploração, então não me surpreenderia ver esse bug explorado em breve – apesar do requisito de autenticação ”, opina Childs .
CVE-2022-22006 e CVE-2022-24501, dois RCEs nas extensões de vídeo HEVC e VP9 (respectivamente) podem ser críticos devido ao seu efeito, mas as atualizações para os aplicativos são enviadas automaticamente pela Microsoft Store, portanto, os clientes precisam ‘ não se preocupe em corrigi-los – se eles não tiverem desabilitado as atualizações automáticas para a Microsoft Store.
CVE-2022-24508 , uma vulnerabilidade do Windows SMBv3 Client/Server RCE, “também parece ser um ponto a ser observado, especialmente porque a Microsoft marcou como ‘exploração mais provável’ e forneceu mitigações adicionais”, diz Kevin Breen, Diretor de Cyber Pesquisa de Ameaças no Immersive Labs .
“Embora a exploração bem-sucedida exija credenciais válidas, a Microsoft fornece conselhos sobre como limitar o tráfego SMB em conexões laterais e externas. Embora este seja um passo forte para fornecer defesa em profundidade, bloquear essas conexões também pode ter um efeito adverso em outras ferramentas que usam essas conexões, algo a ser considerado nas tentativas de mitigação.”
Por fim, CVE-2022-23278 , uma vulnerabilidade de falsificação que afeta o Microsoft Defender for Endpoint para todas as plataformas, merece uma menção especial, embora os invasores devam coletar informações específicas do ambiente do componente de destino antes de poder explorá-lo.
A Microsoft lançou um post explicando como a solução pode ser atualizada em várias plataformas e para garantir que a empresa não esteja ciente de nenhum ataque que tenha aproveitado essa vulnerabilidade.
No entanto, a Microsoft lançou detecções para possíveis atividades de exploração e um artigo de análise de ameaças que descreve o risco e a possível atividade de exploração.