Receba atualizações sobre a resposta da Rackspace ao aviso de segurança do Microsoft Patch Tuesday de abril de 2023.

Em 11 de julho de 2023, a Microsoft declarou 132 vulnerabilidades, incluindo 6 dias zero ativamente explorados e 9 vulnerabilidades críticas. A Microsoft lançou correcções para todas as vulnerabilidades, exceto para um dia zero (CVE-2023-36884). Esta vulnerabilidade afecta a forma como o Microsoft Office trata os ficheiros MSHTML - a Rackspace recomenda a aplicação de correcções em CVE-2023-36884 quando for lançada uma correção. Note-se que a Microsoft não indicou se esta vulnerabilidade será corrigida individualmente ou incluída no lançamento da correção de agosto. Das vulnerabilidades identificadas pela Microsoft, a Rackspace destacará cinco neste post.  

Três vulnerabilidades (registadas como CVE-2023-35365, CVE-2023-35366, e CVE-2023-35367) afectam o "Routing and Remote Access service" (RRAS) em todas as versões actuais do Windows Server, bem como na v2008. Estas vulnerabilidades resultam em Execução Remota de Código (RCE), não requerem autenticação ou interação do utilizador e têm uma baixa complexidade de ataque. Felizmente, o RRAS não está instalado ou configurado por defeito nos Servidores Windows. Recomendamos que os clientes avaliem se este serviço está ou pode estar ativado e que desactivem o serviço ou o corrijam para mitigar a vulnerabilidade.  

A quarta vulnerabilidade (rastreada como CVE-2023-32057) afecta o Microsoft Message Queuing (MSMQ) com um CVSS de 9,8 (classificado como "crítico"). Para explorar com êxito esta vulnerabilidade, um atacante deve enviar um pacote MSMQ malicioso especificamente criado para um servidor MSMQ, levando a uma execução remota de código. Este componente do Windows tem de estar ativado para que um sistema seja vulnerável. A Microsoft recomenda verificar se o serviço "Message Queuing" está a ser executado e se a porta TCP 1801 está a ser escutada na máquina. 

A vulnerabilidade final (registada como CVE-2023-35352) existe no Protocolo de Ambiente de Trabalho Remoto (RDP). A exploração desta vulnerabilidade permitiria a um atacante contornar a autenticação utilizando certificados ou chaves privadas ao iniciar uma sessão de ambiente de trabalho remoto. A vulnerabilidade afecta as versões 2012 a 2019 dos servidores Windows e tem uma classificação de complexidade de ataque baixa.  

Os engenheiros da Rackspace efectuaram uma avaliação inicial e recomendam vivamente que os clientes analisem o aviso e assegurem a instalação dos patches adequados do Microsoft Office. Os clientes da Rackspace que utilizam o nosso Managed Patching Service serão corrigidos durante os ciclos normais de correção. 

Para os clientes que não utilizam o Rackspace Managed Patching, recomendamos a aplicação de patches nos dispositivos o mais rapidamente possível para mitigar estas vulnerabilidades. Os clientes que não utilizam o nosso serviço de correção gerida podem instalar eles próprios as actualizações mais recentes do Windows ou podem solicitar que a Rackspace efectue a correção contactando o suporte da Rackspace. 

As nossas equipas de segurança estão a monitorizar ativamente a situação e fornecerão quaisquer actualizações associadas através deste blogue. 

Se tiver alguma dúvida ou precisar de assistência para responder a estas vulnerabilidades, contacte um Racker de apoio através de https://www.rackspace.com/login.