CISA alerta para ataques que utilizam bugs da Microsoft e da Adobe

O governo norte-americano apela à correção pelos administradores de Tecnologias de Informação (TI) das vulnerabilidades divulgadas no Patch Tuesday da Microsoft. O último lote de bugs, que totalizou 59, inclui dois problemas críticos – um da Microsoft Word e outro da Microsoft Streaming Service Proxy – que estão ativamente a ser utilizados por cibercriminosos.

A Agência de Cibersegurança e de Infraestrutura (CISA) adicionou ambos os bugs à lista de vulnerabilidades exploradas conhecidas após a sua divulgação na terça-feira e deu até 3 de outubro para que as agências civis federais os corrijam. A CISA também publicou um aviso sobre uma vulnerabilidade que afeta o Adobe Acrobat e o Reader.

A vulnerabilidade da Microsoft Word, rastreada como CVE-2023-36761, possui uma pontuação CVSS de 6,2 em 10 e representa um alto risco para a confidencialidade, segundo Natalie Silva, engenheira-chefe de cibersegurança da Immersive Labs. 

O bug pode ser explorado quando um documento ou arquivo malicioso é aberto ou visualizado no painel de visualização, uma ferramenta do Windows File Explorer, “levando a um possível comprometimento do sistema”, explica Silva. Isto pode levar à exposição de ferramentas utilizadas na autenticação em ambientes Windows. Através de um ataque de relay ou offline para recuperar as credenciais do utilizador, os cibercriminosos poderão aceder a informações ou sistemas credenciais.

Tom Bowyer, product manager da Automox, considera que as ferramentas de autenticação, designadas hashes Net-NTLMv2, são “essencialmente chaves digitais para as credenciais de um utilizador”. Com o acesso a estas chaves, um cibercriminoso pode fazer-se passar pelo utilizador e aceder aos seus dados. “Esse tipo de violação pode levar a comprometimentos na integridade e segurança dos dados, abrindo a porta para novas explorações e até mesmo causando um efeito cascata de vulnerabilidades do sistema”, disse Bowyer.

Por sua vez, o zero-day explorado que afeta o Streaming Service Proxy da Microsoft tem uma pontuação de gravidade de 7,8 em 10, sendo rastreado como CVE-2023-36802. Este serviço está ligado ao Microsoft Stream e é o sucessor do Office 365 Video. Nikolas Cemerkic, da Immersive Labs, explica que a aplicação é construída sobre os serviços de media do Azure, baseados em cloud, e permite a reprodução em escala em qualquer dispositivo da rede.

“Foi descoberta uma vulnerabilidade neste serviço que permitiria a um invasor que conseguisse comprometer o sistema alvo a capacidade de obter privilégios de administrador na mesma máquina”, aponta Cemerkic. “Embora um invasor precisasse de estar na máquina com privilégios de baixo nível, nenhuma interação do utilizador seria necessária para que o cibercriminoso elevasse os seus privilégios”.

Relativamente ao bug da Adobe, apesar de a CISA não o ter adicionado à lista de explorações, solicitou aos administradores de TI que atualizassem os seus sistemas. Em comunicado, na terça-feira, a agência alertou que a vulnerabilidade “foi explorada em liberdade em ataques limitados direcionados ao Adobe Acrobat e ao Reader”, tendo uma pontuação CVSS de 7,8 em 10.

O bug em questão afeta as versões Windows e Mac do Acrobat DC, Acrobat Reader DC, Acrobat 2020 e Acrobat Reader 2020. Para além disto, a CISA alertou também para outros bugs de menor gravidade que atingem o Adobe Experience Manager e o Adobe Connect.