Este mês, a Microsoft lançou correções para 120 falhas nos seus produtos, estando duas delas a serem exploradas de forma ativa.

Uma delas - CVE-2020-1464 - tem a ver com spoofing, e que pode causar falha na validação da assinatura dos ficheiros; o atacante podia ultrapassar as funcionalidades de segurança e carregar ficheiros assinados de forma imprópria.

A outra trata-se de uma falha de execução de código remota CVE-2020-1380, que afeta o Internet Explorer; está relacionada com a forma como o motor de scripting processa objectos em memória. A exploração bem sucedida desta falha podia fazer com que o atacante conseguisse privilégios de sistema.

Em termos de severidade, as falhas cotadas como sendo mais críticas são dadas pelos CVE-2020-1509, CVE-2020-1585 e CVE-2020-1472. A falha dada pelo CVE-2020-1509 trata-se de uma vulnerabilidade de elevação de privilégios no LSASS; o atacante podia explorar a mesma enviando um pedido de autenticação especial.

A vulnerabilidade dada pelo CVE-2020-1585 está presente na livraria de codecs do Windows, e é uma execução de código remota, que podia fazer com que o atacante através de um ficheiro de imagem especialmente criado conseguisse tomar controlo do sistema

O último é dado como um problema que podia levar à elevação de privilégios do atacante pelo Netlogon, e é algo mais difícil de corrigir, pois era necessário que o atacante não autenticado usasse o protocolo remoto do Netlogon - MS-NRPC - para se conetar a um controlador de domínio e obter acesso de administrador do mesmo domínio. Para esta falha em concreto, existe este guia da Microsoft de como proceder: https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

Página oficial dos advisories da Microsoft: https://portal.msrc.microsoft.com/en-us/security-guidance