Microsoft lançou uma nova série de patches projetados para corrigir bugs no Windows e em outros produtos de software populares. As atualizações mais significativas corrigem algumas falhas de dia zero, mas os dois bugs do Exchange descobertos nas últimas semanas ainda são um perigo para os servidores de e-mail em todo o mundo.
As falhas de dia zero no Patch Tuesday
Patch Tuesday é um termo informal usado pela Microsoft desde outubro de 2003, mas hoje em dia é amplamente aceito como o momento certo do mês para lançar novas atualizações de segurança.
Sendo uma das maiores plataformas de software do mercado, o Windows desempenha um papel importante nas atualizações agendadas do Patch Tuesday de outubro.
Leia também: O que é a Patch Tuesday da Microsoft
As atualizações de segurança de outubro de 2022 lançadas pela Microsoft incluem correções para 84 falhas de segurança encontradas em diferentes componentes do Windows (do Kernel ao driver de CD-ROM), Microsoft Edge, Azure, Active Directory Domain Services, Visual Studio Code, o sistema de arquivos NTFS , TCP/IP, a API Win32K e muitos outros produtos ou recursos.
Treze vulnerabilidades são classificadas como “Críticas”, pois representam o maior perigo para servidores e sistemas de consumo.
Os 84 bugs mencionados acima incluem 39 vulnerabilidades de elevação de privilégios, duas vulnerabilidades de desvio de recursos de segurança, 20 vulnerabilidades de execução remota de código, 11 vulnerabilidades de divulgação de informações, oito vulnerabilidades de negação de serviço e quatro vulnerabilidades de falsificação.
Uma dúzia de falhas adicionais no navegador Edge não estão incluídas, pois já foram corrigidas em 3 de outubro.
O Patch Tuesday de outubro de 2022 inclui correções para dois bugs de dia zero, um tipo de vulnerabilidade que já foi divulgada publicamente ou está sendo ativamente explorada em ataques.
A falha de dia zero explorada é ativamente classificada como Vulnerabilidade de Elevação de Privilégios do Serviço de Sistema de Eventos do Windows COM+ (CVE-2022-41033).
Segundo a Microsoft, um invasor que “explorou com sucesso essa vulnerabilidade pode obter privilégios de SISTEMA” enquanto tiver acesso local ao sistema de destino.
O bug divulgado publicamente é a vulnerabilidade de divulgação de informações do Microsoft Office (CVE-2022-41043), e os invasores podem usá-lo para divulgar tokens de usuário ou “outras informações potencialmente confidenciais”.
A falha CVE-2022-41033 foi aparentemente descoberta por um pesquisador “anônimo”, diz a Microsoft, enquanto o CVE-2022-41043 foi encontrado pelo pesquisador de segurança da SpecterOps, Cody Thomas.
Infelizmente para empresas e usuários profissionais, o Patch Tuesday deste mês não inclui uma correção adequada para os bugs de dia zero divulgados anteriormente no Microsoft Exchange.
A corporação de Redmond está pedindo aos administradores de sistema que apliquem as mitigações já recomendadas no final de setembro, pois a empresa precisará de mais tempo para criar os patches.