Resumo das Correções de Segurança Mensais: Destaques do Patch Tuesday
Tivemos recentemente mais um “Patch Tuesday”, o dia do mês em que a Microsoft e outras empresas de tecnologia geralmente liberam correções de segurança e consertos para vulnerabilidades em seus softwares e sistemas operacionais. Neste ciclo de atualizações, o Windows teve 72 *exploits* corrigidos, juntamente com correções para outros softwares. A Apple corrigiu 69 vulnerabilidades, e o Android, que segue um cronograma diferente, adicionou cerca de 31 correções. No total, isso soma aproximadamente 172 *exploits* corrigidos, incluindo algumas vulnerabilidades que já estavam sendo exploradas ativamente. Portanto, é crucial verificar a existência de atualizações.
Em sistemas Windows, você pode simplesmente ir nas configurações e clicar em “Verificar atualizações”. Em dispositivos iOS e Android, o processo é similar através do menu de configurações.
A seguir, detalhamos algumas das vulnerabilidades mais significativas e de maior severidade reportadas pelo Windows, Apple e Android neste mês.
Vulnerabilidades Críticas no Windows
Em relação aos tipos de vulnerabilidades corrigidas no Windows, tivemos:
- 17 de Elevação de Privilégio (Elevation of Privilege)
- 2 de Contorno de Recurso de Segurança (Security Feature Bypass)
- 28 de Execução Remota de Código (Remote Code Execution)
- 15 de Divulgação de Informação (Information Disclosure)
- 7 de Negação de Serviço (Denial of Service)
- 2 de Simulação (Spoofing)
Dentre essas, **cinco estavam sendo ativamente exploradas** (são *zero-days*). Todas elas são classificadas como de alta severidade e nenhuma exigia privilégios especiais prévios para exploração. Além disso, todas, exceto a última que será mencionada, são de baixa complexidade, o que significa que os atacantes não precisam de muito esforço para explorá-las.
1. Microsoft Desktop Window Manager (Elevação de Privilégio)
A primeira vulnerabilidade destacada é uma falha de Elevação de Privilégio na biblioteca central do Microsoft Desktop Window Manager. Ela é descrita como um problema de *use-after-free*, o que sugere que uma variável está sendo usada após ter sido liberada, sendo uma falha de segurança de memória.
* Não requer interação do usuário.
* Afeta versões do Windows a partir do Windows 10 1809.
* A correção permite que o atacante obtenha **privilégios de nível de Sistema**, o que significa controle total sobre o sistema, além do nível de administrador.
2. Windows Common Log File System Driver (Duas Falhas)
Os próximos dois *exploits* são parecidos, ambos classificados como Elevação de Privilégio no Driver do Sistema de Arquivos de Log Comum do Windows (Windows Common Log File System Driver).
* **A primeira falha** é um *use-after-free* que permite elevação de privilégio local.
* **A segunda falha** é devida a Validação Imprópria de Entrada (*Improper Input Validation*).
Ambas as falhas:
* Não exigem interação do usuário.
* Afetam versões antigas do Windows, remontando ao Windows Server 2008.
* Permitem que o atacante obtenha privilégios de nível de Sistema.
3. Windows Ancillary Function Driver for Winsock (Elevação de Privilégio)
Esta é outra vulnerabilidade de Elevação de Privilégio, decorrente de um *use-after-free* no Driver de Função Anexada do Windows para Winsock. Sendo um problema de segurança de memória, não surpreende que a Microsoft busque reescrever partes do código em linguagens mais seguras, como Rust.
* Não requer interação do usuário.
* Afeta versões do Windows a partir do Windows Server 2012.
* Permite que atacantes ganhem **privilégios de Administrador**.
4. Scripting Engine (Memória e Rede)
O quinto *zero-day* ativamente explorado está no *scripting engine*. Trata-se de uma corrupção de memória, especificamente uma vulnerabilidade de confusão de tipo (*type confusion*).
* Esta falha pode permitir ataques através da rede, não apenas localmente.
* Afeta versões antigas, como o Windows Server 2008.
* **Exige interação do usuário** e é de alta complexidade.
* A descrição indica que o atacante precisaria “primeiro preparar o dispositivo alvo para que ele utilize o Edge no modo Internet Explorer”. O usuário então precisaria clicar em uma URL especialmente elaborada para ser comprometido. Embora clicar em um link seja um limiar baixo, a preparação prévia com o modo IE pode ser o maior desafio para o atacante.
Correções de Segurança na Apple
A Apple liberou atualizações para praticamente todos os seus sistemas operacionais, incluindo iOS, iPadOS, macOS, tvOS, watchOS e visionOS, abrangendo tanto novos recursos quanto correções de segurança. Foram divulgadas 68 vulnerabilidades, além de uma atualização referente a uma falha anterior. As categorias de *exploits* incluem confusão de tipo, controle de acesso impróprio e várias falhas de memória.
Analisando as três de maior severidade (todas com pontuação 8.8):
1. Vulnerabilidade no WebKit
Esta falha estava presente em quase todos os sistemas operacionais da Apple.
* A descrição aponta que “o processamento de conteúdo web malicioso pode levar à corrupção de memória”.
* Requer interação do usuário, que pode se limitar a clicar em um link.
2. Bypass de Quarentena de Arquivos (macOS)
Essa correção foi aplicada especificamente ao macOS.
* A vulnerabilidade permitia que aplicativos quebrassem seu *sandbox* (ambiente isolado) normal.
* A Apple adicionou verificações adicionais para corrigir isso.
* **Não requer interação do usuário**.
3. Corrupção de Memória do Kernel (macOS)
Esta terceira falha de alta severidade também parece ser exclusiva do macOS.
* A descrição indica que “conectar-se a um servidor AFP malicioso pode corromper a memória do kernel”. AFP significa Apple Filing Protocol, sugerindo um ataque de rede.
* **Não requer interação do usuário**.
Houve várias outras correções de alta severidade (por volta de 8), algumas das quais permitiam que aplicativos ganhassem privilégios de *root* se exploradas.
Atualizações do Android
O Android segue um cronograma de patches diferente, com liberações no primeiro dia do mês e também cerca de uma semana depois. No total, cerca de 30 CVEs foram corrigidos este mês.
As falhas de maior severidade chegaram a 7.8, com 14 correções nesse nível. A maioria delas:
* Não exigia interação do usuário.
* Era de baixa complexidade.
* Envolveu principalmente escalonamento de privilégios, o que é comum.
Os tipos de *exploits* incluíram direitos de estouro de buffer (*out of bound rights*), autorização ausente e validação imprópria de entrada. Embora não houvesse nenhuma falha individualmente “inovadora”, a quantidade de correções de alta severidade justifica a atualização.
Próximos Passos
É altamente recomendável que todos os usuários verifiquem e instalem essas atualizações o mais rápido possível.
Planeja-se continuar fornecendo resumos mensais sobre as vulnerabilidades críticas corrigidas no Patch Tuesday. A dificuldade inicial residiu na agregação de todas as informações, especialmente da Apple, que não publica a severidade das correções diretamente ao lado dos itens corrigidos. Foi necessário utilizar a API do NIST.gov para buscar informações dos nomes CVEs e fazer o cruzamento de dados. Espera-se que nas próximas vezes o tempo gasto na preparação de dados permita uma análise mais aprofundada das vulnerabilidades em si.
