Múltiplas vulnerabilidades no Microsoft Edge podem permitir a execução arbitrária de código

NÚMERO DE CONSULTORIA MS-ISAC:

2021-123

DATA (S) DE EMISSÃO:

09/28/2021

VISÃO GLOBAL:

O Microsoft Edge é um navegador de Internet baseado em Chromium feito pela Microsoft, que é instalado por padrão em todos os novos computadores Windows. O Edge foi feito para substituir o Internet Explorer e funciona mais rápido e com mais recursos. A exploração bem-sucedida da mais grave dessas vulnerabilidades pode permitir que um invasor execute código arbitrário no contexto do navegador. Dependendo dos privilégios associados ao aplicativo, um invasor pode visualizar, alterar ou excluir dados. Se este aplicativo foi configurado para ter menos direitos de usuário no sistema, a exploração da mais severa dessas vulnerabilidades pode ter menos impacto do que se fosse configurada com direitos administrativos.

AMEAÇA INTELIGÊNCIA:

De acordo com o Google, existe um exploit para o CVE-2021-37973.

SISTEMAS AFETADOS:

• Microsoft Edge (baseado em Chromium) antes de 94.0.992.31

RISCO:

Governo:

• Entidades governamentais de grande e médio porte: ALTO
• Entidades governamentais de pequeno porte: MEDIUM

Negócios:

• Entidades de negócios de grande e médio porte: ALTO
• Entidades de pequenas empresas: MEDIUM

Usuários domésticos:

BAIXO

RESUMO TÉCNICO:

Várias vulnerabilidades foram descobertas no Microsoft Edge (Chromium Based), a mais grave das quais pode permitir a execução arbitrária de códigos. Os detalhes das vulnerabilidades são os seguintes:

• Use após a existência de vulnerabilidade livre no uso offline. (CVE-2021-37956)
• Use após a existência de vulnerabilidade gratuita no WebGPU. (CVE-2021-37957)
• Existe vulnerabilidade de implementação inadequada no Navigation. (CVE-2021-37958)
• Use após a existência de vulnerabilidade gratuita no Gerenciador de Tarefas. (CVE-2021-37959)
• Existe vulnerabilidade de implementação inadequada em gráficos Blink. (CVE-2021-37960)
• Use após a existência de vulnerabilidade gratuita no Tab Strip. (CVE-2021-37961)
• Use após a existência de vulnerabilidade livre no Performance Manager. (CVE-2021-37962)
• Existe uma vulnerabilidade de vazamento de informações de canal lateral no DevTools. (CVE-2021-37963)
• Existe uma vulnerabilidade de implementação inadequada no ChromeOS Networking. (CVE-2021-37964)
• Existe uma vulnerabilidade de implementação inadequada na API Background Fetch. (CVE-2021-37965)
• Existe uma vulnerabilidade de implementação inadequada na composição. (CVE-2021-37966)
• Existe uma vulnerabilidade de implementação inadequada na API Background Fetch. (CVE-2021-37967)
• Existe uma vulnerabilidade de implementação inadequada na API Background Fetch. (CVE-2021-37968)
• Existe uma vulnerabilidade de implementação inadequada no Google Updater. (CVE-2021-37969)
• Use após a existência de vulnerabilidade gratuita na API do sistema de arquivos. (CVE-2021-37970)
• Existe uma vulnerabilidade de IU de segurança incorreta na IU do navegador da web. (CVE-2021-37971)
• Existe vulnerabilidade de leitura fora dos limites em libjpeg-turbo. (CVE-2021-37972)
• Use após a existência de vulnerabilidade gratuita em Portals. (CVE-2021-37973)

A exploração bem-sucedida da mais grave dessas vulnerabilidades pode permitir que um invasor execute código arbitrário no contexto do navegador. Dependendo dos privilégios associados ao aplicativo, um invasor pode visualizar, alterar ou excluir dados. Se este aplicativo foi configurado para ter menos direitos de usuário no sistema, a exploração da mais severa dessas vulnerabilidades pode ter menos impacto do que se fosse configurada com direitos administrativos.

RECOMENDAÇÕES:

Recomendamos as seguintes ações:

• Aplique as atualizações de segurança fornecidas pela Microsoft aos sistemas vulneráveis ​​imediatamente após o teste apropriado.
• Execute todos os softwares como um usuário sem privilégios (sem privilégios administrativos) para diminuir os efeitos de um ataque bem-sucedido.
• Lembre os usuários de não visitar sites não confiáveis ​​ou seguir links fornecidos por fontes desconhecidas ou não confiáveis.
• Informe e eduque os usuários sobre as ameaças representadas por links de hipertexto contidos em e-mails ou anexos, especialmente de fontes não confiáveis.
• Aplique o Princípio do Menor Privilégio a todos os sistemas e serviços.

REFERÊNCIAS:

CVE:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37956
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37957
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37958
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37959
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37960
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37961
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37962
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37963
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37964
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37965
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37966
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37967
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37968
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37969
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37970
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37971
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37972https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37973

Microsoft: