A Microsoft começou a distribuir seu patch de segurança mensal por meio do programa Patch Tuesday. Os desenvolvedores incluíram correções para 120 vulnerabilidades em 13 produtos da Microsoft, incluindo Windows, Edge, SQL Server e outros. Entre outras coisas, a instalação do patch corrige 17 vulnerabilidades críticas, bem como duas vulnerabilidades de dia zero, uma das quais foi explorada por cibercriminosos na prática.
Quanto às vulnerabilidades de dia zero, uma delas está relacionada à plataforma de software Windows e possui o identificador CVE-2020-1464. Foi relatado que a exploração dessa vulnerabilidade permite que invasores falsifiquem assinaturas digitais em arquivos para “contornar os recursos de segurança usados para verificar a autenticidade dos arquivos assinados”.
A Microsoft não divulga detalhes técnicos sobre esta vulnerabilidade e sobre casos de seu uso real por hackers. Essa é uma prática tradicional dos desenvolvedores da empresa, devido à relutância da Microsoft em direcionar os hackers para locais onde outros problemas possam ser identificados.
A segunda vulnerabilidade de dia zero está no mecanismo de script do Internet Explorer e possui o identificador CVE-2020-1380. Este erro permite a execução remota de código no dispositivo de destino. A vulnerabilidade, bem como casos de seu uso real na prática, foram descobertos por especialistas da Kaspersky Lab, que forneceram à Microsoft um relatório correspondente sobre o problema.
Embora a vulnerabilidade tenha sido identificada no mecanismo de script do IE, ela afeta vários outros produtos da empresa, incluindo o Microsoft Office. Isso ocorre porque o Office usa o mecanismo de script do IE para incorporar e renderizar páginas da web em documentos do Office. Para explorar esta vulnerabilidade, os atacantes devem forçar a vítima a ir a um site malicioso ou abrir um documento do Office especialmente modificado.
Infelizmente, os detalhes de outras vulnerabilidades ainda não foram divulgados. Os administradores de sistema que mantêm computadores em organizações e instituições são aconselhados a realizar testes de compatibilidade antes da aplicação de patches em massa.