As TOP 10 versões do Windows com mais correções e como atualizá-las

Por Átila Altoé e Laura Cardillo

Já é tradição da Microsoft lançar, em todas as terças-feiras, atualizações para diferentes edições do sistema operacional. Por isso ficou conhecida como Patch Tuesday. E nesta semana, descobrimos quais as 10 versões de Windows que precisam de mais correções. Entre as atualizações necessárias, estão falhas pequenas, mas que podem comprometer grandemente o fluxo de trabalho, além de questões envolvendo autenticação e redes WiFi.

TOP 10 versões do Windows com mais correções

O gráfico abaixo demonstra as principais versões do Windows contempladas por essa Patch Tuesday, ordenadas de maneira decrescente de acordo com a quantidade de vulnerabilidades presentes.

Já o gráfico abaixo demonstra o top 10 de vulnerabilidades referentes à sua pontuação base na métrica CVSS:

No mês de fevereiro, as ameaças com suas pontuações mais relevantes foram:

CVE-2022-21984 – Windows DNS Server Remote Code Execution Vulnerability.

CVE-2022-22005 – Microsoft SharePoint Server Remote Code Execution Vulnerability.

CVE-2022-23274 – Microsoft Dynamics GP Remote Code Execution Vulnerability.

CVE-2022-21987 – Microsoft SharePoint Server Spoofing Vulnerability.

CVE-2022-21991 – Visual Studio Code Remote Development Extension Remote Code Execution Vulnerability.

CVE-2022-23256 – Azure Data Explorer Spoofing Vulnerability.

CVE-2022-23272 – Microsoft Dynamics GP Elevation Of Privilege Vulnerability.

CVE-2022-21995 – Windows Hyper-V Remote Code Execution Vulnerability.

CVE-2022-21996 – Windows Kernel Elevation of Privilege Vulnerability.

CVE-2022-22715 – Named Pipe File System Elevation of Privilege Vulnerability

Porcentagem com base no grau de criticidade das vulnerabilidades

Do quantitativo de 4324 vulnerabilidades no período observado, a tabela abaixo ordena de forma decrescente os quantitativos com suas criticidades.

Conforme atualização reportada, cinco CVEs ainda não tem atribuições em seus estados de gravidade como importante ou crítica. São elas:

CVE-2022-21984, CVE-2022-22005, CVE-2022-23274, CVE-2022-21987, CVE2022-21991, CVE-2022-23256, CVE-2022-23272, CVE-2022-21995, CVE-2022-21996 e CVE-2022-2.

Impacto das ameaças

O gráfico abaixo demonstra o quantitativo de impacto das ameaças:

A tabela abaixo detalha este(s) tipo(s) de impacto de ameaça com seus descritivos conforme ocorrência:

Cada um dos impactos citados acima é detalhado no glossário a seguir:

Elevation of Privilege

A elevação de privilégio resulta da concessão de permissões de autorização de invasor além daquelas inicialmente concedidas. Por exemplo, um invasor com um conjunto de privilégios de permissões “somente leitura”, de alguma forma, eleva o conjunto para incluir “leitura e gravação”.

Information Disclosure

A divulgação de informações permite que um invasor receba informações valiosas sobre um sistema. Portanto, sempre considere quais informações você está revelando e se elas podem ser usadas por um usuário mal-intencionado.

Remote Code Execution

Execução remota de código (RCE), é a exploração de uma fragilidade na aplicação que permite que o atacante envie um código malicioso para ser executado. Para isso, ele usa a linguagem da aplicação e a exploração executada em server-side. Basicamente, para qualquer aplicação, é um tipo de vulnerabilidade mais perigosa que existe. O acesso físico ao PC por um hacker não é necessário. Ele pode tomar controle ou roubar dados de forma
remota, ou seja, à distância.

Denial of Service

Ataques do tipo DoS (Denial Of Service), também conhecidos como ataques de negação de serviço, são tentativas de sobrecarregar um servidor ou computador comum para que recursos do sistema fiquem indisponíveis para seus utilizadores.

Spoofing

Spoofing refere-se ao ato de assumir a identidade de algum ativo, endereço de e-mail, usuário ou fonte de informação confiável. Essa vulnerabilidade abrange uma variedade de táticas, incluindo passar-se por um remetente de e-mail confiável para phishing, assumir a identidade de um ativo reconhecido na rede por ARP spoofing, passar-se por um servidor DNS confiável, entre outras.

Vulnerabilidades mais graves

É certo que todas as correções disponibilizadas precisam ser analisadas e interpretadas em acordo com cada ambiente e os serviços da Microsoft que sua organização utiliza em sua infraestrutura de TI. Porém, algumas se destacam e recomendamos atuação imediata:

CVE-2022-21989 | Windows Kernel Elevation of Privilege Vulnerability

É uma vulnerabilidade de EoP no Kernel do Windows e a única vulnerabilidade de zero day abordada este mês. De acordo com a classificação do Índice de Exploração da Microsoft, é mais provável que essa vulnerabilidade seja explorada. O comunicado observa que um invasor precisa tomar ações adicionais antes da exploração dessa vulnerabilidade.

CVE-2022-22005 | Microsoft SharePoint Server Remote Code Execution Vulnerability

É uma vulnerabilidade RCE no Microsoft SharePoint Server. A Microsoft classifica isso como “exploração mais provável”, no entanto, no momento, nenhuma prova de conceito pública parece existir. Para explorar essa vulnerabilidade, um invasor precisa ser autenticado e ter a capacidade de criar páginas no SharePoint.

CVE-2022-21996 | Win32k Elevation of Privilege Vulnerability

É uma vulnerabilidade EoP no Win32k da Microsoft, um driver principal do lado do kernel usado no Windows. Essa vulnerabilidade é semelhante a outra falha de EoP do lançamento do Patch Tuesday de janeiro, CVE-2022-21882. O CVE-2022-21882 foi ativamente explorada por agentes de ameaças e a Agência de Segurança Cibernética e Infraestrutura adicionou a vulnerabilidade ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas, exigindo que as agências federais corrijam a vulnerabilidade até 18 de fevereiro.

CVE-2022-22715 | Named Pipe File System Elevation of Privilege Vulnerability

É uma vulnerabilidade EoP no Named Pipe File System. É classificada como Exploração mais provável. Para explorar essa falha, um invasor precisaria ter estabelecido uma presença no sistema vulnerável para executar um aplicativo especialmente criado. A exploração bem-sucedida permitiria que um invasor executasse processos com privilégios elevados.

Conclusão

A relação completa das vulnerabilidades dessa Patch Tuesday, assim como as atualizações responsáveis por sua mitigação e artigos para solução de problemas estão disponíveis aqui.

Todas os patches lançados são importantes, mas caso desafios de negócios exijam que algumas atualizações sejam priorizadas em detrimento a outras, recomendamos focar naquelas listadas no item vulnerabilidades mais graves e naquelas de maior nota CVSS.

Bibliografia

https://msrc.microsoft.com/update-guide/vulnerability

https://msrc.microsoft.com/update-guide/releaseNote/2022-Feb

https://malwaretips.com/threads/microsoft-february-2022-patch-tuesday.112360/

https://twitter.com/msftsecresponse/status/149111048213223833