Nesta última terça-feira (10), a Microsoft lançou a atualização de segurança de novembro para seus produtos. Mais de 68 falhas de segurança foram corrigidas, incluindo seis vulnerabilidades do tipo zero-day que estão sendo exploradas por cibercriminosos em campanhas ativas até o momento.

Entre as vulnerabilidades corrigidas, 11 foram classificadas como críticas, 27 podem permitir que um criminoso consiga escalar privilégios e 16 podem ser usadas em ataques de execução remota de código.

Correção para as falhas ProxyNotShell

Uma das principais novidades da atualização de novembro são os patches para corrigir as duas vulnerabilidades zero-day no Microsoft Exchange, conhecidas como ProxyNotShell, que têm sido ativamente exploradas desde setembro em ataques que tentam executar remotamente códigos em servidores comprometidos para roubar dados sem ativar qualquer detecção.

Estas duas vulnerabilidades são: CVE-2022-41040, do tipo Server Side Request Forgery (SSRF), e a CVE-2022-41082, que permite a execução de código remoto (RCE) quando o PowerShell se torna acessível para o criminoso.

Desde setembro, quando a Microsoft confirmou estar ciente das vulnerabilidades e dos relatórios que indicam que as falhas estão sendo exploradas por cibercriminosos, as empresas tiveram que mitigar os riscos seguindo as orientações da Microsoft até que as correções pudessem ser lançadas. A atualização de outubro da Microsoft não chegou a tempo para essa correção, mas a atualização de novembro já cumpre este papel.

Outras falhas zero-day corrigidas em novembro

Confira as outras vulnerabilidades zero-day corrigidas pela Microsoft na atualização de novembro:

CVE-2022-41128: uma vulnerabilidade crítica de execução de código remoto em JScript que tem sido explorada por cibercriminosos em campanhas maliciosas. Para explorar esta falha, um atacante precisa que a vítima acesse um site ou servidor compartilhado malicioso, o que pode ser feito usando um e-mail de phishing ou uma mensagem de chat.

CVE-2022-41091: uma vulnerabilidade que permite contornar a proteção fornecida pelo Mark of the Web para arquivos que são baixados da Internet. Os atacantes podem explorar esta falha enviando um arquivo especialmente elaborado. Esta vulnerabilidade também está aparentemente sendo explorada ativamente por cibercriminosos.

CVE-2022-41073: esta falha permite escalar privilégios e está presente no Windows Print Spooler. Caso seja explorada com sucesso por um atacante, essa vulnerabilidade pode permitir a obtenção de permissões do tipo SYSTEM.

CVE-2022-41125: a última das vulnerabilidades do tipo zero-day corrigida em novembro está presente no Key Isolation Service (CNG) e, se explorada com sucesso por um atacante, pode aumentar os privilégios e obter permissões SYSTEM. Como com as demais vulnerabilidades corrigidas pela Microsoft, não há informações sobre os ataques ou os cibercriminosos que estão explorando essa falha.

A Agência de Segurança Cibernética dos EUA, CISA, recomenda a usuários e administradores de sistemas que instalem as últimas atualizações de segurança. Para mais informações sobre as vulnerabilidades corrigidas nos produtos da Microsoft na atualização de novembro, acesse o site oficial da Microsoft.