Microsoft corrigiu 90 novas vulnerabilidades na sua atualização de segurança mensal (Patch Tuesday) de agosto. Das quais, nove foram consideradas zero-day – ou seja, conhecidas apenas pelo desenvolvedor antes da correção – e seis já estavam sendo exploradas por atacantes em ataques reais.

Dos zero-days explorados, cinco tinham severidade alta e o outro era considerado de severidade média. Além disso, a Microsoft também corrigiu 11 bugs críticos, nove dos quais tiveram suas pontuações CVSS (Common Vulnerabilities Scoring System) divulgadas.

Aqui está um resumo do Trend Micro’s Zero Day Initiative sobre as cinco vulnerabilidades de alta severidade que já estavam sendo exploradas em ataques e foram corrigidas pela Microsoft nesta atualização:

1. CVE-2024-38178 – Vulnerabilidade de Corrupção da Memória no Motor de Scripting: Essa vulnerabilidade exige que o alvo esteja usando o Edge no modo Internet Explorer. Uma vez que o Edge está em modo IE, um único clique do usuário é suficiente para executar código malicioso. A correção inclui uma atualização para o Windows 112 v24H2, que não está disponível publicamente. No entanto, o ZDI afirma que a Microsoft fez a atualização porque os dispositivos Copilot+ são enviados com essa versão do Windows.
2. CVE-2024-38193 – Vulnerabilidade de Elevação de Prerrogativas no Driver Funcional Ancestral para WinSock: Essa vulnerabilidade de elevação de privilégios permite que atacantes executem código como o SISTEMA. A Microsoft não fornece nenhuma indicação da extensão em que essa falha está sendo explorada, mas o ZDI afirma que, considerando a fonte, se ainda não estiver sendo usada em ransomware, provavelmente será logo.
3. CVE-2024-38106 – Vulnerabilidade de Elevação de Prerrogativas no Núcleo do Windows: Este também é um bug de elevação de privilégios que leva a privilégios do SISTEMA. O ZDI afirma que a Microsoft classifica a complexidade da exploração como “alta” porque o atacante precisa vencer uma condição de corrida, um bug de software que ocorre quando vários processos ou threads tentam acessar e modificar dados compartilhados ao mesmo tempo sem coordenação adequada. Com ataques em andamento, o ZDI disse que esse bug é explorável.
4. CVE-2024-38107 – Vulnerabilidade de Elevação de Prerrogativas no Coordenador de Dependências de Energia do Windows: Outra falha de elevação de privilégios que leva a privilégios do SISTEMA sendo explorados. “Power Dependency” funciona como um componente do Modern Standby, que foi desenvolvido para permitir que os dispositivos despertem do modo de suspensão. O ZDI afirma que isso mostra como recursos adicionais também podem aumentar a superfície de ataque potencial.
5. CVE-2024-38189 – Vulnerabilidade de Execução Remota de Código no Microsoft Project: Embora o ZDI tenha dito que é estranho ver uma execução de código em Project — ela existe — e está sendo explorada em ataques reais. Aqui está o guia da Microsoft sobre como bloquear a execução de macros em produtos do Office.

Adobe Corrige 71 Vulnerabilidades em Produtos, Incluindo Riscos de Ataques com Ransomware

No Patch Tuesday desta semana, a Adobe lançou atualizações de segurança para corrigir 71 vulnerabilidades em seus produtos. O Trend Micro’s Zero Day Initiative (ZDI) destaca que as maiores correções foram para o Adobe Commerce, incluindo várias soluções para bugs críticos de execução de código.

O ZDI também menciona que a atualização para InDesign corrige muitos bugs de execução de código, mas destaca com mais ênfase a correção para Acrobat e Reader. O motivo? PDFs maliciosamente criados são frequentemente usados por grupos de ransomware.