fbpx
Microsoft Segurança Da Informação

Patches da Microsoft outubro de 2020

Principal motivo para aplicar os patches da Microsoft outubro de 2020: Ping of Death Redux

Uma vulnerabilidade no tratamento do driver TCP / IP do Windows do IPv6 permite negação de serviço, e possivelmente execução remota de código.

 

A Microsoft está lançando um número substancial de correções de segurança novamente no lançamento do Patch Tuesday de outubro de 2020.

Sendo 11 classificados como “Críticos” pela Microsoft (incluindo a última atualização de segurança do Adobe Flash).

Porém as duas vulnerabilidades entre as que estão sendo corrigidas se destacam acima dessas outras: CVE-2020-16898 e CVE-2020-16899. Essas vulnerabilidades, causadas por um bug no driver TCP / IP do Windows, remetem à vulnerabilidade “Ping of Death” corrigida no Windows em 2013. Eles tornam a negação de serviço e possível execução remota de código possível com um pacote criado.

A vulnerabilidade em tcpip.sys, um erro lógico em como o driver analisa mensagens ICMP, pode ser disparada remotamente com um pacote de anúncio de roteador IPv6 elaborado contendo uma opção de servidor DNS recursivo (RDNSS) . A opção RDNSS geralmente contém uma lista dos endereços IPv6 de um ou mais servidores DNS recursivos.

 

O formato de opção RDNSS para pacotes ICMP IPv6.

Há uma falha de lógica em tcpip.sys que pode ser explorada criando um pacote de anúncio de roteador contendo mais dados do que o esperado, o que resulta no driver colocando mais bytes de dados em sua pilha de memória do que o previsto no código do driver, resultando em um estouro de buffer.

Em teoria, isso poderia ser usado para ataques de negação de serviço e de execução remota de código. Mas, na prática, conseguir a execução remota de código seria extremamente difícil.

A SophosLabs desenvolveu sua própria prova de conceito para um ataque, com base nas informações fornecidas pela Microsoft. Ele aproveita a vulnerabilidade para causar uma “tela azul da morte” no computador de destino. Os detalhes da POC estão sendo ocultados para evitar a exploração por invasores.

 

 

Assim que entendemos o bug, desenvolver uma prova de conceito da “Tela Azul da Morte” foi bastante simples. Portanto levá-lo ao nível que a Microsoft avisou ser possível, execução remota de código (RCE), não é.

Padrões e práticas de codificação defensiva modernos retardariam um esforço para construir um exploit RCE genérico confiável, por dois motivos.

Patches da Microsoft outubro de 2020- O Primeiro obstáculo

Primeiro, o TcpIp.sys é compilado com o sinalizador GS o que evita que um estouro de pilha típico controle diretamente o endereço de retorno.

O cookie de pilha, também conhecido como canários de pilha (stack canaries), é um valor aleatório gerado no momento do carregamento. Seu valor é XOR com o ponteiro da pilha, tornando-o extremamente difícil de prever com segurança especialmente em uma exploração remota completa.

Existem duas técnicas típicas usadas para contornar canários de pilha, nenhuma das quais realmente se aplica neste caso:

  • Usando outra vulnerabilidade de vazamento de informações (leitura arbitrária) que não ajudará muito na exploração de tcpdrv.sys, porque o valor canário é XOR com o ponteiro da pilha.

  • Sobrescrever um manipulador Structured Exception Handling (SEH), que seria útil apenas se um registro de exceção estruturada tiver sido definido, o que não é o caso aqui.

Patches da Microsoft outubro de 2020- O Segundo obstáculo

O segundo obstáculo para um exploit RCE eficaz é o kernel Address Space Layout Randomization ( kASLR). Mesmo se fosse possível, pode-se prever com segurança o canário da pilha (big if) que retorna ao shell do sistema no modo de usuário para determinar corretamente (e novamente de forma remota) o endereço base do kernel do Windows.

Isso significa que, mesmo quando a natureza exata do bug em tcpdrv.sys se torna mais amplamente conhecida, pode levar algum tempo até que alguém possa explorá-lo de uma forma que injete código de forma confiável no espaço do kernel do Windows. Mesmo assim, a ameaça de negação de serviço à vontade com um pacote de fabricação relativamente fácil deve ser suficiente por si só para solicitar uma correção rápida – que é a única correção real para essa vulnerabilidade.

A Sophos está em processo de implantação de assinaturas para ataques com base nesta vulnerabilidade ao Firewall XG e Endpoint IPS (em EAP). Os IDs de assinatura são sid: 2304055 e sid: 2304163, respectivamente. Outras mitigações de curto prazo para ataques potenciais de negação de serviço incluem:

  • Desative o IPv6 se não for usado ou

  • Faça o Windows descartar os pacotes de anúncio de roteador usando o comando netsh (netsh int ipv6 set int * INTERFACENUMBER * rabaseddnsconfig = disable).

O restante das vulnerabilidades críticas corrigidas deste mês também são possíveis bugs de execução remota de código:

  • CVE-2020-16891: Vulnerabilidade de execução remota de código do Windows Hyper-V

  • CVE-2020-16911: Vulnerabilidade de execução remota de código GDI +

  • CVE-2020-16915: Vulnerabilidade de corrupção de memória do Media Foundation

  • CVE-2020-16923: Vulnerabilidade de execução remota de código de componentes gráficos da Microsoft

  • CVE-2020-16947: Vulnerabilidade de execução remota de código do Microsoft Outlook

  • CVE-2020-16951 e CVE-2020-16952: duas vulnerabilidades de execução remota de código do Microsoft SharePoint

  • CVE-2020-16966: Vulnerabilidade de execução remota de código do Open Enclave SDK

  • CVE-2020-16967: Vulnerabilidade de execução remota de código do Windows Camera Codec Pack

Vulnerabilidade de falsificação do Windows

Outro bug interessante corrigido no lançamento do Patch Tuesday é o CVE-2020-16922, um bug na verificação do Windows de assinaturas digitais de arquivos do Catálogo de Segurança (.CAT) que poderia ser usado para falsificar a verificação de confiança de um arquivo potencialmente malicioso.

Normalmente, qualquer modificação feita em um arquivo assinado digitalmente deve resultar na invalidação de sua assinatura.  No entanto, foi descoberto que anexar dados arbitrários de qualquer tamanho ao final de um arquivo .CAT assinado não invalida sua assinatura aos olhos do Windows, que falha em considerar os dados estranhos.

Patches da Microsoft outubro de 2020- Conheça a criticidade desse bug

Este bug tem uma semelhança com a vulnerabilidade do Curveball no início deste ano, mas não é tão crítico e representa uma ameaça menor para os usuários – porque, ao contrário do Curveball, os ataques “Man-in-the-Middle” não são motivo de preocupação. O bug pode ser explorado em implantações de malware, por exemplo, na criação de um arquivo Java Archive (.JAR) malicioso.

Ao pegar um arquivo .CAT assinado pela Microsoft existente, anexar o conteúdo de um arquivo .JAR a ele e alterar a extensão do arquivo para .JAR, é produzido um arquivo que se parece e é executado como um arquivo .JAR, mas tem um “spoofed ”, Assinatura digital válida.

Isso funciona porque o Java Runtime pesquisará um determinado arquivo .JAR em busca de conteúdo Java a ser executado, mesmo se eles estiverem presentes no meio do arquivo.

A maioria dos outros tipos de arquivo não funcionam dessa maneira e não podem ser usados ​​para esse propósito.

Os invasores podem usar este tipo de vulnerabilidade para contornar o software de segurança em torno do manuseio de malware:

Um arquivo com uma assinatura digital falsificada pode enganar o software de segurança e considerá-lo como um arquivo legítimo feito pela Microsoft e, portanto, aumentar sua “reputação”, potencialmente para tal o ponto em que um olho cego estaria voltado para um arquivo de malware real que de outra forma seria detectado.

Proteção Sophos

Aqui está uma lista de proteção lançada pela SophosLabs em resposta a este aviso para complementar qualquer proteção existente e recursos genéricos de mitigação de exploits em nossos produtos.

 

CVE
IPS
CVE-2020-16898 SID: 2304055,2304163
CVE-2020-16899 SID: 2304058
CVE-2020-16922 SID: 2304140,2304142
CVE-2020-16915 SID: 2304212

Esta e todas as outras vulnerabilidades reveladas no lançamento do Patch Tuesday de outubro especialmente as críticas, oferecem muitos motivos para corrigir o mais rápido possível.

Fonte: Por

 

Leia também:

8 práticas recomendadas de firewall para bloquear Ransomware

O estado do ransomware 2020

 

Author

Gonçalves

Especialista em Cibersegurança | Microsoft Security, Compliance and Identity | Microsoft Azure | Microsoft 365 | Sophos XG Firewall | Sophos Intercept X | ITIL |Palestrante

Leave a comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *