Qualys alerta para vulnerabilidades em componentes do Windows

Após a publicação de novos alertas de segurança por parte da Microsoft no seu último Patch Tuesday (relatórios publicados na segunda terça-feira de cada mês), a empresa disponibilizou correções para 114 vulnerabilidades, incluindo 7 classificadas como críticas e um patch adicional para uma vulnerabilidade concreta que já foi explorada ativamente em cenários reais.

Identificada como CVE-2023-28252, esta vulnerabilidade já explorada permite ao atacante obter
privilégios ao nível do sistema de ficheiros de registo comum (Common Log File System, CLFS) do Windows, introduzido pela primeira vez na versão 2003 R2.

Os invasores aproveitaram esta vulnerabilidade para implementar o ransomware Nokoyawa, uma estirpe relativamente nova que poderá estar relacionada com Hive, “uma das famílias de ransomware mais importantes dos últimos dois anos, vinculada a violações em mais de 300 organizações de todo o mundo em apenas poucos meses”.

Embora ainda não seja claro quem está por detrás do Nokoyawa, foram já confirmados como alvos grandes empresas da América do Norte, América do Sul e Ásia, assim como em pequenas empresas do Médio Oriente.

“Esta não é a primeira vez que este controlador do Windows é alvo de cibercriminosos”, afirma Bharat Jogi, responsável de Investigação de Vulnerabilidades e Ameaças da Qualys. “Já em setembro passado, a Microsoft corrigiu outra vulnerabilidade (CVE-2022-37969), que era conhecida por ser explorada no mundo real, afetando este mesmo componente”, sublinhou ainda o mesmo responsável.

Quanto às vulnerabilidades críticas corrigidas pela Microsoft neste novo Patch Tuesday, destacam-se duas em concreto: CVE-2023-28250 e CVE-2023-21554, que afetavam o serviço Message Queue Server do Windows.

Neste caso, embora nenhuma das duas tenha sido ainda explorada em cenários reais, “o risco era elevado, já que estão classificadas com uma pontuação CVSSv3 de 9,8 em 10 e podem ser utilizadas como worms”.