A Microsoft anunciou a correção de um total de 61 novas falhas de segurança em seu software como parte das atualizações do Patch Tuesday para maio de 2024, incluindo dois zero-days que foram explorados ativamente. Das 61 falhas, uma é classificada como Crítica, 59 são classificadas como Importantes e uma é classificada como Moderada em gravidade. Isso se soma às 30 vulnerabilidades resolvidas no navegador Edge baseado no Chromium ao longo do último mês, incluindo dois zero-days recentemente divulgados que foram marcados como explorados em ataques. As duas falhas de segurança que foram utilizadas na natureza são: CVE-2024-30040 (pontuação CVSS: 8.8) – Vulnerabilidade de Evasão de Segurança da Plataforma Windows MSHTML; CVE-2024-30051 (pontuação CVSS: 7.8) – Vulnerabilidade de Elevação de Privilégios da Biblioteca Principal do Windows Desktop Window Manager (DWM). “Um atacante não autenticado que explorar com sucesso essa vulnerabilidade poderá obter execução de código convencendo o usuário a abrir um documento malicioso, momento em que o atacante poderá executar código arbitrário no contexto do usuário”, disse a gigante da tecnologia em uma orientação para o CVE-2024-30040. No entanto, a exploração bem-sucedida requer que um atacante convença o usuário a carregar um arquivo especialmente criado em um sistema vulnerável, distribuído por e-mail ou mensagem instantânea, e os engane para manipulá-lo. Curiosamente, a vítima não precisa clicar ou abrir o arquivo malicioso para ativar a infecção. Por outro lado, o CVE-2024-30051 poderia permitir que um ator de ameaças obtivesse privilégios de SISTEMA. Três grupos de pesquisadores da Kaspersky, DBAPPSecurity WeBin Lab, Google Threat Analysis Group e Mandiant foram creditados por descobrir e relatar a falha, indicando uma provável exploração disseminada. Ambas as vulnerabilidades foram adicionadas pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), exigindo que as agências federais apliquem as correções mais recentes até 4 de junho de 2024. Também resolvidas pela Microsoft estão várias falhas de execução de código remoto, incluindo nove que afetam o Driver de Banda Larga Móvel do Windows e sete que afetam o Serviço de Roteamento e Acesso Remoto do Windows (RRAS). Outras falhas de destaque incluem falhas de escalonamento de privilégios no driver do Sistema Comum de Arquivos de Log (CLFS) – CVE-2024-29996, 30025 (pontuações CVSS: 7.8), 30037 (pontuação CVSS: 7.5) – Win32k (CVE-2024-30028 e CVE-2024-30030, pontuações CVSS: 7.8), Serviço de Pesquisa do Windows (CVE-2024-30033, pontuação CVSS: 7.0), e Kernel do Windows (CVE-2024-30018, pontuação CVSS: 7.8). Em março de 2024, a Kaspersky revelou que atores de ameaças estão tentando explorar ativamente falhas de escalonamento de privilégios agora corrigidas em vários componentes do Windows devido ao fato de que “é uma maneira muito fácil de obter um NT AUTHORITYSYSTEM rápido”. Akamai também destacou uma nova técnica de escalonamento de privilégios que afeta ambientes do Active Directory (AD) e se aproveita do grupo de administradores DHCP. Ressaltando que, “nos casos em que a função do servidor DHCP está instalada em um Controlador de Domínio (DC), isso poderia permitir que eles obtivessem privilégios de administrador de domínio”. Para finalizar a lista, há uma vulnerabilidade de evasão de segurança (CVE-2024-30050, pontuação CVSS: 5.4) que impacta o Windows Mark-of-the-Web (MotW) e pode ser explorada por meio de um arquivo malicioso para evitar as defesas. Microsoft, que foi recentemente criticada por uma série de lapsos de segurança que levaram a uma violação de sua infraestrutura por atores estatais da China e Rússia, delineou uma série de medidas para priorizar a segurança acima de todos os outros recursos do produto como parte de sua Iniciativa de Futuro Seguro (SFI). “Além disso, vamos instilar responsabilidade baseando parte da compensação da Equipe de Liderança Sênior da empresa em nosso progresso no cumprimento de nossos planos de segurança e marcos”, disse Charlie Bell, vice-presidente executivo de Segurança da Microsoft.