Análise do Patch Tuesday de julho e das recomendações de Ivanti para priorizar a correção de vulnerabilidades (CVEs). Patch Tuesday em julho de 2021 tem tudo.
Com a recente atualização fora de banda do PrintNightmare, a próxima CPU trimestral da Oracle, um conjunto de atualizações da Adobe, incluindo Acrobat e Reader, Mozilla Firefox e Firefox ESR, e o conjunto típico de atualizações mensais da Microsoft, o Patch Tuesday inclui em julho muitos recursos de segurança vulnerabilidades que devem ser abordadas como uma questão de prioridade.
Vulnerabilidade PrintNightmare
Começa com PrintNightmare CVE-2021-34527, que foi identificado como outra vulnerabilidade no spooler de impressão após a atualização do Patch Tuesday de junho. A Microsoft lançou rapidamente atualizações de segurança fora de banda para a maioria dos sistemas operacionais. As atualizações estão disponíveis para Windows 7 e Server 2008/2008 R2, desde que os usuários tenham uma assinatura ESU (Extended Security Update). A empresa também forneceu um artigo de suporte que explica como as atualizações funcionam e oferece algumas opções de configuração adicionais. As organizações que ainda não instalaram a atualização fora de banda podem simplesmente atualizar as atualizações do sistema operacional de julho para corrigir as três novas vulnerabilidades de dia zero junto com este CVE.
Microsoft – mais de 100 CVEs
A Microsoft também corrigiu 117 CVEs individuais em julho, 10 dos quais foram classificados como críticos. Entre eles estão três vulnerabilidades de dia zero e cinco divulgações públicas. Uma boa notícia: todas as três vulnerabilidades de dia zero e três das cinco divulgadas publicamente serão corrigidas com o lançamento das atualizações do sistema operacional de julho. As atualizações deste mês afetam os sistemas operacionais Windows, Office 365, Sharepoint, Visual Studio e vários módulos e componentes (consulte as notas de versão para obter detalhes).
Priorização baseada em risco
Ao observar as vulnerabilidades corrigidas pelos fornecedores, a avaliação deve considerar mais do que apenas a gravidade e a pontuação CVSS. Se as equipes de segurança de TI não tiverem métricas adicionais para determinar o risco, há uma boa chance de que estejam perdendo algumas das atualizações mais importantes. Um bom exemplo de como os algoritmos do fornecedor usados para definir a gravidade podem dar uma falsa sensação de segurança pode ser encontrado na lista de dia zero deste mês. Dois dos CVEs são classificados como importantes apenas pela Microsoft, embora tenham sido explorados ativamente antes do lançamento da atualização. A pontuação CVSSv3 para o CVE crítico é ainda menor do que para os dois CVEs importantes. De acordo com analistas como o Gartner, a adoção de uma abordagem baseada em riscos para o gerenciamento de vulnerabilidades pode reduzir o número de violações de dados em até 80% ao ano (Gartner Forecast Analysis: Risk-Based Vulnerability Management 2019).
Vulnerabilidades de dia zero
CVE-2021-31979 é uma vulnerabilidade de elevação de privilégio no kernel do Windows. Essa vulnerabilidade foi descoberta durante ataques "in the wild". A gravidade da Microsoft para este CVE é classificada como Importante e a pontuação CVSSv3 é 7,8. A vulnerabilidade afeta o Windows 7, Server 2008 e versões posteriores do sistema operacional Windows.
No CVE-2021-33771 Esta é uma vulnerabilidade de elevação de privilégio no kernel do Windows. Essa vulnerabilidade também foi descoberta em ataques reais. A gravidade da Microsoft para este CVE é classificada como Importante e a pontuação CVSSv3 é 7,8. A vulnerabilidade afeta o Windows 8.1, Server 2012 R2 e versões posteriores do sistema operacional Windows.
CVE-2021-34448 é uma vulnerabilidade de corrupção de memória no Windows Scripting Engine que pode permitir que um invasor execute código remotamente no sistema afetado.
Cenário de ataque de dia zero
Em um cenário de ataque baseado na Web, um invasor pode hospedar um site que contém um arquivo especialmente criado para explorar a vulnerabilidade. O mesmo se aplica a um site comprometido que aceita ou hospeda conteúdo fornecido pelo usuário. No entanto, um invasor não teria como forçar o usuário a visitar o site. Em vez disso, um invasor teria que induzir voluntariamente o usuário a clicar em um link. Isso geralmente é feito por meio de um e-mail ou mensagem de mensagem instantânea. O objetivo é então convencer o usuário a abrir o arquivo.
A gravidade da Microsoft para este CVE é classificada como Crítica e a pontuação CVSSv3 é 6,8. A vulnerabilidade afeta o Windows 7, Server 2008 e versões mais recentes do sistema operacional Windows.
Anunciado publicamente
CVE-2021-33781 visa contornar os recursos de segurança no serviço Active Directory. Esta vulnerabilidade foi divulgada publicamente. A gravidade da Microsoft para este CVE é classificada como Importante e a pontuação CVSSv3 é 8.1. A vulnerabilidade afeta o Windows 10, Server 2019 e versões posteriores do sistema operacional Windows.
CVE-2021-33779 é um desvio de recurso de segurança no Windows ADFS Security. Esta vulnerabilidade foi divulgada publicamente. A gravidade da Microsoft para este CVE é classificada como Importante e a pontuação CVSSv3 é 8.1. A vulnerabilidade afeta as versões de servidor 2016, 2019, 2004, 20H2 e Core Windows Server.
No CVE-2021-34492 é uma vulnerabilidade de falsificação de certificado no sistema operacional Windows. Essa vulnerabilidade também foi divulgada publicamente. A gravidade da Microsoft para este CVE é classificada como Importante. A pontuação do CVSSv3 é 8.1 e afeta o Windows 7, Server 2008 e versões posteriores do sistema operacional Windows.
CVE-2021-34473 é uma vulnerabilidade de execução remota de código no Microsoft Exchange Server e foi divulgada publicamente. A Microsoft classifica este CVE como crítico e a pontuação CVSSv3 é 9,0. A vulnerabilidade afeta o Exchange Server 2013u23, 2016u19, 2016u20, 2019u8, 2019u9.
CVE-2021-34523 é uma vulnerabilidade de elevação de privilégio no Microsoft Exchange Server. Esta vulnerabilidade foi divulgada publicamente e tem uma classificação de gravidade Importante. A pontuação do CVSSv3 é 9.1. Afeta o Exchange Server 2013u23, 2016u19, 2016u20, 2019u8, 2019u9.
Atualizações de terceiros
Oracle lançará sua Atualização Trimestral de Patch Crítico ou CPU em 20 de julho. Ele incluirá atualizações para Oracle Java SE, MySQL, Fusion Middleware e muitos outros produtos Oracle. A CPU conterá todas as correções de segurança e detalhes sobre o CVSSv3.1. Isso inclui a complexidade do ataque e as respostas à questão de saber se a vulnerabilidade pode ser explorada remotamente. Detalhes são adicionados para entender a urgência das atualizações.
adobe lançou atualizações para cinco produtos como parte da Patch Tuesday de julho. As atualizações para Adobe Bridge, Dimension, Illustrator e Framemaker são classificadas como prioridade 3 pela Adobe. Cada um corrige pelo menos um CVE crítico.
Muitas atualizações da Adobe para Acrobat e Reader
Ao classificar, a Adobe leva em consideração a gravidade da vulnerabilidade e a probabilidade de um invasor se concentrar no produto. Adobe Priority 1 significa que pelo menos um CVE incluído na versão já foi explorado ativamente. Prioridade 3 significa que o produto tem menos probabilidade de ser atacado e que há poucas vulnerabilidades exploradas.
Embora as quatro atualizações do produto não sejam urgentes, elas devem ser corrigidas em um prazo razoável. Mais importante neste mês é a atualização do Adobe Acrobat and Reader (APSB21-51), que corrige 19 CVEs, 14 dos quais são classificados como críticos. A relevância definida pela Adobe para esta atualização é Prioridade 2. Três dos CVEs críticos foram classificados com um CVSSv3 de 8.8. Pode permitir a execução remota de código. Ainda não se sabe se algum dos CVEs foi explorado. No entanto, o Acrobat e o Reader são amplamente implantados em sistemas e são de interesse para os agentes de ameaças em si.
Mozilla lançou atualizações para Firefox e Firefox ESR que incluem correções para 9 CVEs. A Fundação classifica cinco dos CVEs como “alto impacto”. As equipes de segurança de TI podem encontrar mais detalhes em MFSA2021-28.
Recomendações da Ivanti para priorização
A maior prioridade deste mês é a atualização do sistema operacional Windows. Mais três vulnerabilidades de dia zero foram corrigidas. Para empresas que ainda não instalaram a correção fora de banda PrintNightmare, seriam quatro vulnerabilidades de dia zero junto com três vulnerabilidades divulgadas publicamente.
O Microsoft Exchange tem duas vulnerabilidades conhecidas publicamente, bem como a CVE-2021-31206, que se tornou conhecida há alguns meses como parte da competição Pwn2Own. Portanto, embora o Exchange tenha tido uma pausa após muitas atualizações nos últimos meses, essa vulnerabilidade deve ser analisada e corrigida o mais rápido possível.
Atualizações de terceiros para Adobe Acrobat e Reader e Mozilla Firefox devem receber alta prioridade. PDF e aplicativos de navegador são alvos fáceis para invasores que exploram um usuário com ataques de phishing e outros métodos centrados no usuário.
Mais em Ivanti.com
Sobre Ivanti A força da TI Unificada. Ivanti conecta TI com operações de segurança corporativa para melhor governar e proteger o local de trabalho digital. Identificamos ativos de TI em PCs, dispositivos móveis, infraestruturas virtualizadas ou no data center - independentemente de estarem no local ou na nuvem. A Ivanti melhora a prestação de serviços de TI e reduz os riscos de negócios por meio de expertise e processos automatizados. Ao usar tecnologias modernas no depósito e em toda a cadeia de suprimentos, a Ivanti ajuda as empresas a melhorar sua capacidade de entrega - sem alterar os sistemas de back-end.