Você está na página 1de 32

Dezembro 2019- Broadcast Português

• Teresa Ghiorzoe
Gerente do Programa de segurança- CSS LATAM
• E-mail: Maria.Teresa@Microsoft.com
Visão geral do lançamento mensal de segurança – Dezembro de 2019
Divulgadas
Exploração CVSS
Detalhes de vulnerabilidade RCE EOP ID SFB DOS SPF TMP de forma
conhecida máxima
pública
Windows 10 1909 e Windows Server v1909 3 2 7 1 1 0 0 0 0 8,4
Windows 10 1903 e Windows Server v1903 3 2 7 1 1 0 0 0 0 8,4
Windows 10 1809 e Windows Server 2019 3 3 7 1 1 0 0 0 0 8,4
Windows 10 1803 e Windows Server v1803 3 2 7 1 1 0 0 0 0 8,4
Windows 10 1709 e Windows Server v1709 2 2 7 1 1 0 0 0 0 8,4
Windows Server 2016 2 2 7 1 1 0 0 0 1 8,4
Windows 8.1 e Server 2012 R2 2 1 6 1 1 0 0 0 1 8,4
Windows Server 2012 2 1 6 1 1 0 0 0 1 8,4
Windows RT 8.1 2 1 5 1 1 0 0 0 1 8,4
Windows 7 e Windows Server 2008 R2 2 2 8 1 1 0 0 0 1 8,4
Windows Server 2008 2 2 6 1 0 0 0 0 1 8,4
Internet Explorer 1 0 0 0 0 0 0 0 0 8,4
Software relacionado ao Microsoft Office 1 0 3 0 1 1 0 0 0 NA
Visual Studio 4 0 0 0 0 1 1 0 0 NA
Software relacionado ao SQL Server 0 0 0 0 0 1 0 0 0 NA
MSAL (Biblioteca de Autenticação da Microsoft) para
0 0 1 0 0 0 0 0 0 NA
Android

RCE = Execução Remota de Código | EOP = Elevação de Privilégio | ID = Divulgação de Informações Confidenciais | SFB = Bypass de Recurso de
Segurança | DOS = Negação de Serviço | SPF = Falsificação | TMP = Adulteração

•Vulnerabilidades que sobrepõem componentes podem ser representadas mais de uma vez na tabela.
•NA - No momento do lançamento, as pontuações de CVE só estavam disponíveis para o Windows, o Internet Explorer e o Microsoft Edge.
•As atualizações para Windows podem exigir uma Atualização da pilha de serviços (SSU). Para obter mais detalhes, consulte https://aka.ms/ssu.
Visão geral do lançamento mensal de segurança - Dezembro de 2019
Vulnerabilidades remediadas por componente e por impacto

SQL Server

Visual Studio

Microsoft Office-related software

Internet Explorer

Windows Server 2008

Windows 7 and Windows Server 2008 R2

Windows RT 8.1

Windows Server 2012

Windows 8.1 & Server 2012 R2

Windows Server 2016

Windows 10 1607

Windows 10 1803 & Windows Server v1803

Windows 10 1809 & Windows Server 2019

Windows 10 1903 & Windows Server v1903

0 2 4 6 8 10 12 14 16

Remote Code Execution Elevation of Privilege Information Disclosure Security Feature Bypass Denial of Service Spoofing Tampering
Windows 10
7% 7% 7%
7% 22% 7% 20% 7% 22%

14 CVEs 15 CVEs 14 CVEs


0 public 0 public 0 public Max CVSS
0 exploited 14% 0 exploited 0 exploited 14% Base, 8.4
20%

46%
50% 50%

Windows 10 1903 & Windows Windows 10 1809 & Windows Windows 10 1803 & Windows A pontuação
Server v1903 Server 2019 Server v1803 mostrada reflete a
maior pontuação
base do conjunto de
CVEs aplicáveis

Componentes Afetados:
Defender Kernel Remote Desktop
GDI OLE Protocol (RDP)
Hyper-V Printer Service Win32k
Win32k Graphics
CVE-2019-1471 Hyper-V
Software
Impacto, gravidade, Divulgação Afetado
Execução de código remoto | Crítica | Privadamente | Não explorada no campo

Vetores de ataque
Existe uma vulnerabilidade de execução remota de código quando o Windows Hyper-V em um servidor de host
não valida corretamente a entrada de um usuário autenticado no sistema operacional guest. Para explorar a
vulnerabilidade, um invasor poderia executar um aplicativo especialmente criado em um sistema operacional
convidado, que poderia fazer com que o host Hyper-V sistema operacional para executar código arbitrário.
Windows 10
Atenuações Server, version 1803
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade. Server 2019
Server, version 1903
Server, version 1909
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Windows 8.1, Server 2012 R2, e Server 2012
9% 10% 9%
18% 20% 18%
9% 10% 9%

11 CVEs 10 CVEs 11 CVEs


9% 9%
0 public 0 public 10% 0 public Max CVSS
1 exploited 1 exploited 1 exploited Base, 8.4

55% 50% 55%

Windows 8.1 & Server 2012 R2 Windows RT 8.1 Windows Server 2012 A pontuação
mostrada reflete a
maior pontuação
base do conjunto de
CVEs aplicáveis

Componentes Afetados:
Defender Kernel
GDI OLE
Hyper-V Remote Desktop
Protocol (RDP)
CVE-2019-1458 Win32k
Software
Impacto, gravidade, Divulgação Afetado
Elevação de Privilégio | Importante | Privadamente | Exploração detectada

Vetores de ataque
Para explorar esta vulnerabilidade, um invasor teria primeiro que fazer logon no sistema. Um invasor poderia
executar uma aplicação especialmente criada para explorar a vulnerabilidade e assumir o controle do sistema
afetado. A atualização resolve esta vulnerabilidade corrigindo como Win32k manipula objetos na memória.
Windows 10
Server 2016
Windows 7
Atenuações Windows 8.1
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Server 2008
Server 2008 R2
Server 2012
Soluções Alternativas Server 2012 R2
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Windows 8.1, Server 2012 R2, e Server 2012
9% 10% 9%
18% 20% 18%
9% 10% 9%

11 CVEs 10 CVEs 11 CVEs


9% 9%
0 public 0 public 10% 0 public Max CVSS
1 exploited 1 exploited 1 exploited Base, 8.4

55% 50% 55%

Windows 8.1 & Server 2012 R2 Windows RT 8.1 Windows Server 2012 A pontuação
mostrada reflete a
maior pontuação
base do conjunto de
CVEs aplicáveis

Componentes Afetados:
Defender Kernel
GDI OLE
Hyper-V Remote Desktop
Protocol (RDP)
CVE-2019-1468 Win32k Graphics
Software
Impacto, gravidade, Divulgação Afetado
Execução de código remoto | Crítica | Privadamente | Não explorada no campo

Vetores de ataque
Existe uma RCE vulnerabilidade na biblioteca de fonte do Windows processa inadequadamente fontes incorporadas. Existem várias Windows 10
maneiras que um invasor pode explorar esta vulnerabilidade. Em um cenário de ataque baseado na web, o invasor pode hospedar
um site que é projetado para explorar esta vulnerabilidade e convencer um usuário a visualizar o site. Compartilhamento de
Server, version 1909
arquivos em um cenário de ataque, um invasor pode fornecer um documento especialmente criado para o arquivo que é projetado Server, version 1803
para explorar esta vulnerabilidade e, então, convencer um usuário a abrir o arquivo do documento.
Server 2019
Server, version 1903
Atenuações
Server 2016
Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema correm menos riscos do que os
usuários que trabalham com direitos administrativos. Um intruso não teria forma de forçar os usuários a visualizarem o Windows 7
conteúdo controlado pelo invasor. Em vez disso, o invasor teria de convencer os usuárioa a tomarem medidas, geralmente Windows 8.1
fazendo com que eles cliquem em um link em um e-mail ou uma mensagem em um Instant Messenger que leva o usuário
ao site do intruso, ou abrindo um anexo enviado através de correio electrónico. Server 2008
Server 2008 R2
Soluções Alternativas Server 2012
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.. Server 2012 R2
Windows Browsers

1 CVE
Max CVSS
Base, 7.5
0 public
0 exploited

highest base score


from among
100%
applicable CVEs

Internet Explorer
CVE-2019-1485 Scripting Engine
Software
Impacto, gravidade, Divulgação Afetado
Execução de código remoto | Crítica | Privadamente| Nao explorada na natureza

Vetores de ataque
O invasor pode hospedar um site que é projetado para explorar a vulnerabilidade através do IE, e convencer um usuário a
visualizar o site. O invasor também pode tirar proveito de sites comprometidos, ou sites que aceitam ou hospedam
anúncios ou conteúdo fornecido pelo usuário, adicionando conteúdo especialmente criado para explorar a vulnerabilidade.
Um invasor também pode incorporar um controle ActiveX marcado como "seguro para inicialização" em um aplicativo ou
documento do Office que hospeda o motor de renderização do navegador.

Atenuações Internet Explorer 9


Invasor teria de convencer os usuários a tomarem medidas, geralmente fazendo com que eles cliquem em um link Internet Explorer 10
em um e-mail ou uma mensagem em um Instant Messenger que leva o usuário ao site do invasor, ou a abrir um
anexo enviado através de correio eletrónico. De nenhuma maneira o invasor pode forçar o usuário a exibir Internet Explorer 11
conteúdo mal-intencionado. A exploração ganha os mesmos direitos que o usuário conectado no momento.

Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Microsoft Office
Produtos:
17% 16%
Office 2010/2013/2016/2019
Word 2010/2013/2016
6 CVEs
Excel 2010/2013/2016
17% 0 public
0 exploited PowerPoint 2010/2013/2016
Office 2016 for Mac
Office 2019 for Mac
50%
Office 365 ProPlus
Skype Business Server 2019 CU2
Microsoft Office-related software
CVE-2019-1462 PowerPoint
Software
Impacto, gravidade, Divulgação Afetado
Execução de código remoto | Importante | Privadametne | Não explorada no campo

Vetores de ataque
A exploração desta vulnerabilidade exige que o usuário abra um arquivo especialmente criado com uma versão afetada do Microsoft Office.
Cenário da Web - invasor hospeda um site mal-intencionado utilizando a vulnerabilidade e, em seguida, convence os usuários a visitarem o
site ou invasor tira vantagem de comprometimento de sites e / ou hospedagem de sites de anúncios de outros fornecedores.
Cenário de e-mail - invasor envia arquivo especialmente criado e o convence a abrir o arquivo.
Office 2019
Office 2019 for Mac
Atenuações Office 365 ProPlus
Invasor teria de convencer os usuário es a tomar medidas, geralmente fazendo com que eles cliquem em um link em um
e-mail ou uma mensagem em um Instant Messenger que leva o usuário ao site do invasor, ou a abrir um anexo enviado PowerPoint 2013
através de correio electrónico. De nenhuma maneira oinvasor para forçar o usuário a exibir conteúdo mal-intencionado. A
exploração ganha os mesmos direitos que o usuário conectado no momento.
PowerPoint 2016
Office 2016 for Mac
Soluções Alternativas PowerPoint 2010
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Outros Produtos
SQL Server & Power BI Report Server
CVE-2019-1332 Importante | Falsificação | Público: Não | Explorada: Não
Uma vulnerabilidade de cross-site scripting (XSS) existe quando o Microsoft SQL Server Reporting Services (SSRS) não limpa corretamente a
solicitação da web especialmente criado para servidor SSRS Um invasor que explorar a vulnerabilidade poderia executar scripts no contexto do
usuário. Os ataques podem permitir que o invasor leia o conteúdo que o invasor não está autorizado a ler, executar código malicioso, e usar a
identidade da vítima para tomar as ações no site, em nome do usuário , tais como alterar permissões e excluir o conteúdo. Para explorar a
vulnerabilidade, um invasor precisaria convencer um usuário autenticado a clicar em um link especialmente criado para um servidor SSRS . A
atualização resolve a vulnerabilidade corrigindo sanitização de URL do SSRS .
Outros Produtos
Biblioteca de Autenticação da Microsoft (MSAL) para Android
CVE-2019-1487 | Divulgação de Informações | Importante | Público: Não | Explorada: Não
Uma vulnerabilidade de divulgação de informações em aplicativos Android usando o Microsoft Authentication Library (MSAL) 0.3.1-Alpha ou
posterior existe sob condições específicas. Essa vulnerabilidade pode resultar em dados confidenciais sendo exposto. Para explorar esta
vulnerabilidade, um invasor precisa ser autenticado para ter direitos para exibir os dados sensíveis. Esta atualização de segurança resolve a
vulnerabilidade modificando a maneira como os dados são limpos.
Outros Produtos
Visual Studio
CVE-2019-1349/1350/1352/1387 | Crítica | Execução remota de Código | Público: Não | Explorada: Não
Existe uma vulnerabilidade de execução remota de código quando o Git para Visual Studio não limpa adequadamente o input. Um invasor que explora esta
vulnerabilidade poderá assumir o controle do sistema afetado. Um invasor poderia então instalar programas, exibir, alterar ou excluir dados; ou criar novas
contas com direitos totais de usuário. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema correm menos riscos do que
os usuário es que trabalham com direitos humanos. Para explorar a vulnerabilidade, um intruso teria primeiro de convencer o usuário a clonar um repositório
mal-intencionado. Esta atualização de segurança resolve a vulnerabilidade corrigindo como o Git para Visual Studio valida o input de linha de comando.

CVE-2019-1351 Moderado | Manipulação | Público: Não | Explorada: Não


Existe uma vulnerabilidade de manipulação quando o Git para Visual Studio não processa adequadamente virtual drive paths. Um invasor que explorar esta
vulnerabilidade pode escrever arquivos e diretórios arbitrários em certos locais em um sistema vulnerável. No entanto, um intruso teria controle limitado sobre
o destino dos arquivos e diretórios. Para explorar a vulnerabilidade, um invasor deve clonar um arquivo usando um caminho/ virtual drive paths especialmente
criado em um sistema vulnerável. A atualização de segurança corrige a vulnerabilidade, garantindo o Git para Visual Studio devidamente lida com caminhos/
virtual drive paths de pastas.
CVE-2019-1486 Importante | Falsificação | Público: Não | Explorada: Não
Existe uma vulnerabilidade de falsificação no Visual Studio Live Compartilhar quando um cliente conectado à uma sessão Live Share é redirecionado a um URL
arbitrário especificado pelo host. Um invasor que explorar esta vulnerabilidade poderia fazer com que um computador convidado abra um navegador e vá
para um URL sem o consentimento do cliente. Para explorar a vulnerabilidade, um invasor precisa hospedar uma Live Share e convencer um usuário a se
conectar à sessão. A atualização corrige a vulnerabilidade, solicitando consentimento do Live Share antes de navegar para o host-URL especificado.
Atualização de ciclo de vida do produto.
Produtos, atingindo o final do suporte neste O Windows 10 Canal Semestral final
mês – de serviço
Windows 10 Mobile
• Nenhum em Dezembro
Vindo em Janeiro 2020
Windows 7, Windows Server 2008/2008 R2 support
is ending January 14, 2020

Please apply the update to verify that eligible devices Aka.ms/lifecycle


can get Extended Security Updates.
• Windows 7 SP1 (KB article here),
• Windows Server 2008 SP2,(KB article here)
• Windows Server 2008 R2 SP1 (KB article here)

• FAQ: Extended Security Update (ESU) program


Ajudando os clientes a mudança para um ambiente de trabalho moderno
Mudanças na Pilha de Manutenção do Windows Server (Servicing Stack
Updates)

Dezembro tem nova SSU para: Windows Server 2008, Windows 7/Server
2008 R2, Windows Server 2012
Https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv990001

Mais informações:
Servicing Stack Updates
Https://docs.microsoft.com/en-us/windows/deployment/update/servicing-stack-
updates#why-should-servicing-stack-updates-be-installed-and-kept-up-to-date

Windows 7 servicing stack updates


Https://techcommunity.microsoft.com/t5/Windows-IT-Pro-Blog/Windows-7-servicing-
stack-updates-managing-change-and/ba-p/260434
Perguntas?
Apêndice
Dezembro de 2019
-
Dezembro de 2019
https://portal.msrc.microsoft.com/pt-br/security-guidance
https://aka.ms/sug
Problemas Conhecidos
https://portal.msrc.microsoft.com/pt-br/security-guidance
KB Article Applies To
4484190 Excel 2013
4484179 Excel 2016
4461590 PowerPoint 2013
4484190 PowerPoint 2016
4484190 Word 2013
4484190 Word 2016
4530681 Windows 10
4530684 Windows 10, version 1803, Windows Server version 1803, Windows 10, version 1809, Windows Server version 1809

4530689 Windows 10, version 1607, Windows Server 2016


4530691 Windows Server 2012 (Monthly Rollup)

4530698 Windows Server 2012 (Security-only update)


4530702 Windows 8.1, Windows Server 2012 R2 (Monthly Rollup)
4530714 Windows 10, version 1709
4530715 Windows 10, version 1809, Windows Server 2019
4530717 Windows 10, version 1803, Windows Server version 1803
4530730 Windows 8.1, Windows Server 2012 R2 (Security-only update)
4530734 Windows 7 SP1, Windows Server 2008 R2 SP1 (Monthly Rollup)
Português
https://aka.ms/latamdeck
https://aka.ms/latamdeck
https://aka.ms/mtsn
https://www.first.org/cvss
Perguntas?
CVE Public Explorada Produto
CVE-2019-1453 Nº Nº O RDP (Remote Desktop
Protocol)
CVE-2019-1470 Nº Nº O Hyper-V
CVE-2019-1471 Nº Nº O Hyper-V
CVE-2019-1472 Nº Nº Kernel
CVE-2019-1474 Nº Nº Kernel
CVE-2019-1480 Nº Nº Media Player
CVE-2019-1481 Nº Nº Media Player
CVE-2019-1483 Nº Nº O Windows
CVE-2019-1484 Nº Nº O OLE
CVE-2019-1488 Nº Nº Defender
CVE-2019-1458 Nº Sim Win32k
CVE-2019-1465 Nº Nº O GDI
CVE-2019-1466 Nº Nº O GDI
CVE-2019-1467 Nº Nº O GDI
CVE Public Explorada Produto
CVE-2019-1468 Nº Nº Ilustrações de Win32k
CVE-2019-1469 Nº Nº Win32k
CVE-2019-1476 Nº Nº O Windows
CVE-2019-1477 Nº Nº Serviço de Impressora
CVE-2019-1478 Nº Nº COM Server
CVE-2019-1400 Nº Nº O acesso
CVE-2019-1461 Nº Nº Palavra
CVE-2019-1462 Nº Nº PowerPoint
CVE-2019-1463 Nº Nº O acesso
CVE-2019-1464 Nº Nº Excel
CVE-2019-1490 Nº Nº O Skype para negócios e
Lync
CVE-2019-1487 Nº Nº Biblioteca de autenticação
para Android
CVE-2019-1489 Nº Nº Protocolo de Área de
Trabalho Remota
CVE-2019-1332 Nº Nº O XSS SQL Server
Reporting Services.
CVE Public Explorada Produto
CVE-2019-1349 Nº Nº O Git para o Visual Studio
CVE-2019-1350 Nº Nº O Git para o Visual Studio
CVE-2019-1351 Nº Nº O Git para Visual Studio
Adulteração
CVE-2019-1352 Nº Nº O Git para o Visual Studio
CVE-2019-1387 Nº Nº O Git para o Visual Studio
CVE-2019-1485 Nº Nº VBScript
CVE-2019-1486 Nº Nº Visual Studio Live
Compartilhar