As atualizações de segurança do mês de dezembro da Microsoft corrigem bugs do SharePoint RCE
A Microsoft publicou o lote mensal de atualizações de segurança da empresa, conhecido como Patch Tuesday, com um total de 58 correções de vulnerabilidades, incluindo as vulnerabilidades críticas de execução remota de código em várias versões do SharePoint.
Há um número menor de correções em dezembro em comparação com as mais de 100 correções regulares enviadas a cada mês, todas elas não menos graves.
Mais de 22 patches deste mês são classificados como vulnerabilidades RCE de execução de acesso remoto. Essas vulnerabilidades podem ser facilmente exploradas (por meio da Internet ou de uma rede local) e, portanto, precisam ser resolvidas imediatamente.
Os produtos de vulnerabilidade RCE deste mês incluem Windows NTFS, Exchange Server, Microsoft Dynamics, Excel, PowerPoint, SharePoint, Visual Studio e Hyper-V.
Os três bugs de alta classificação para este mês são bugs RCE que afetam o Exchange Server (CVE-2020-17143, CVE-2020-17144, CVE-2020-17141, CVE-2020-17117, CVE-2020-17132 e CVE-2020- 17142) e SharePoint (CVE-2020-17118 e CVE-2020-17121).
Bug RCE de pré-autenticação do SharePoint
Os destaques para as atualizações de segurança deste mês, sem dúvida, são os dois bugs de segurança RCE CVE-2020-17121 e CVE-2020-17118 que afetam o Microsoft SharePoint.
Os invasores exploram a vulnerabilidade CVE-2020-17118 enganando as pessoas para que abram arquivos de escritório mal-intencionados. O código de exploração à prova de conceito CVE-2020-17118 também está disponível, de acordo com as informações fornecidas pela Microsoft no comunicado de segurança, embora seja provavelmente compartilhado em particular.
Jonathan Birth, engenheiro de software de segurança sênior da equipe de segurança do Microsoft Office, descobriu esse bug, afetando o Microsoft SharePoint Server 2019, o Microsoft SharePoint Enterprise Server 2016, o Microsoft SharePoint Foundation 2013 Service Pack 1 e o Microsoft SharePoint Foundation 2010 Service Pack 2.
A Microsoft diz: “O código ou técnica não é funcional em todas as situações e pode exigir modificações substanciais por um invasor habilidoso.”
O Deception 2020 Patch Tuesday corrige os bugs que podem permitir a execução remota de código no sistema Windows que executa o clique vulnerável para executar e edições baseadas no Installer (.msi) de produtos do Microsoft Office.
As atualizações de segurança são fornecidas por meio da plataforma de atualização da Microsoft e do Centro de download.