Novo Alerta de Vulnerabilidade no Servidor Windows IIS:
CVE-2023-36434
Recentemente, a Microsoft divulgou no seu site oficial uma nova vulnerabilidade denominada CVE-2023-36434. Ela está relacionada a uma Elevação de Privilégio nos servidores Windows IIS, e afeta especificamente as versões 10.0 a 10.0.1.
Esta vulnerabilidade foi avaliada com uma pontuação CVSS de 9.8 (em uma escala até 10) na sua versão 3.X. Para os menos familiarizados, o CVSS é um padrão reconhecido globalmente para avaliar a gravidade das vulnerabilidades de segurança.
O que exatamente essa vulnerabilidade permite?
Em termos práticos, um invasor que explorar essa vulnerabilidade com êxito será capaz de fazer logon utilizando as credenciais de outro usuário. Isto significa que, se um usuário possuir privilégios administrativos, o invasor pode potencialmente assumir controle total sobre o servidor comprometido.
Como isso pode ser explorado por invasores?
A exploração ocorre em ataques baseados em rede. Um invasor tentaria usar técnicas de força bruta para decifrar e utilizar senhas de contas de usuários. A Microsoft, entretanto, reforça a importância do uso de senhas robustas e complexas, uma vez que isso torna consideravelmente mais difícil o sucesso de ataques de força bruta.
Por que a Microsoft classificou a severidade como “Importante” e não “Crítica”, mesmo com uma pontuação CVSS tão alta?
Essa é uma questão interessante. A classificação proprietária de severidade da Microsoft nem sempre se alinha diretamente com o sistema de pontuação CVSS. Neste caso específico, mesmo que a pontuação CVSS seja elevada, a Microsoft categorizou a vulnerabilidade como “Importante” e não “Crítica” porque acredita-se que ataques de força bruta sejam improváveis contra contas protegidas por senhas fortes. Este é um lembrete importante da complexidade e nuances da avaliação de riscos de segurança.
fontes:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36434
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36434
https://nvd.nist.gov/vuln/detail/CVE-2023-36434