Alex Ionescu

**Nome do Software Vulnerável e Versões Afetadas** Enclave de Segurança Baseada em Virtualização (VBS) do Windows (versões afetadas não especificadas) **Descrição** O problema está relacionado à validação de entrada insuficiente no Enclave de Segurança Baseada em Virtualização (VBS) dos sistemas operacionais Microsoft Windows. Isso pode permitir que um atacante eleve seus privilégios. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Enclave de Segurança Baseada em Virtualização (VBS) do Windows (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma vulnerabilidade de elevação de privilégios no Enclave de Segurança Baseada em Virtualização (VBS) dos sistemas operacionais Microsoft Windows. Essa vulnerabilidade está associada a falhas no procedimento de autenticação. A exploração da vulnerabilidade pode permitir que um invasor eleve seus privilégios. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Windows AppContainer (versões afetadas não especificadas) **Descrição** O problema está relacionado a restrições de acesso insuficientes no ambiente isolado do Windows AppContainer, permitindo que um invasor contorne as restrições de segurança e eleve seus privilégios. Existe uma vulnerabilidade de elevação de privilégios, permitindo que invasores afetem o sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Driver Dell dbutil 2 3.sys (versões afetadas não especificadas) **Descrição** O driver Dell dbutil 2 3.sys contém uma vulnerabilidade de controle de acesso insuficiente, que pode levar à escalada de privilégios, negação de serviço ou divulgação de informações. É necessário acesso local de usuário autenticado. Essa vulnerabilidade foi explorada pelo grupo Lazarus em uma campanha de espionagem, na qual eles utilizaram uma técnica chamada Bring Your Own Vulnerable Driver (BYOVD) para instalar um driver legítimo, mas vulnerável, no dispositivo da vítima. A vulnerabilidade foi então explorada para ler e gravar na memória do kernel, permitindo que os invasores desativassem o monitoramento de segurança e executassem comandos com privilégios de nível de kernel. A campanha teve como alvo indivíduos da indústria aeroespacial na Holanda e jornalistas políticos na Bélgica. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Windows (versões afetadas não especificadas) Descrição: Existe uma vulnerabilidade de elevação de privilégios devido à falha do driver do modo kernel do Windows em lidar adequadamente com objetos na memória. Isso poderia permitir que um invasor executasse código arbitrário no modo kernel, possibilitando-lhe instalar programas, visualizar, alterar ou excluir dados, ou criar novas contas com direitos de usuário plenos. Para explorar essa vulnerabilidade, um invasor deve primeiro fazer login no sistema e, em seguida, executar um aplicativo especialmente criado para esse fim. O problema é resolvido corrigindo a forma como o driver do modo kernel do Windows lida com objetos na memória. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Windows 7 Windows Server 2012 R2 Windows RT 8.1 Windows Server 2008 Windows Server 2019 Windows Server 2012 Windows 8.1 Windows Server 2016 Windows Server 2008 R2 Windows 10 Windows 10 Servers **Description** An information disclosure issue exists due to improper initialization of objects in memory by the Remote Procedure Call runtime. This could allow an attacker to disclose protected information using a specially crafted application. The estimated number of potentially affected devices worldwide is not specified. Details about real-world incidents where this issue was exploited are not provided. **Recommendations** For Windows 7, update to a newer version to mitigate the risk. For Windows Server 2012 R2, apply the recommended configuration changes. For Windows RT 8.1, restrict access to sensitive information. For Windows Server 2008, disable unnecessary features. For Windows Server 2019, update to a newer version to mitigate the risk. For Windows Server 2012, apply the recommended configuration changes. For Windows 8.1, restrict access to sensitive information. For Windows Server 2016, update to a newer version to mitigate the risk. For Windows Server 2008 R2, disable unnecessary features. For Windows 10, update to a newer version to mitigate the risk. For Windows 10 Servers, apply the recommended configuration changes. As a temporary workaround, consider restricting access to sensitive information until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Windows 10 versions prior to the fixed version Windows Server 2019 versions prior to the fixed version Windows 10 Servers versions prior to the fixed version **Description** The issue is related to insecure privilege management in the Windows kernel, allowing an attacker to disclose protected information using a specially crafted application. This could potentially lead to a Kernel Address Space Layout Randomization (KASLR) bypass. **Recommendations** For Windows 10, update to a version that includes the fix for this issue. For Windows Server 2019, apply the necessary patch or update to a version that includes the fix for this issue. For Windows 10 Servers, update to a version that includes the fix for this issue. As a temporary workaround, consider restricting access to sensitive system information until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Windows 10 versions (affected versions not specified) Windows Server 2019 versions (affected versions not specified) Windows 10 Servers versions (affected versions not specified) **Description** An information disclosure issue exists due to the Windows Audio Service's failure to properly handle objects in memory. This could allow an attacker to obtain access to protected information in the memory of a privileged process. **Recommendations** For Windows 10, consider restricting access to sensitive information until a fix is available. For Windows Server 2019, restrict access to the Windows Audio Service to minimize the risk of exploitation. For Windows 10 Servers, avoid using the Windows Audio Service for sensitive operations until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Windows (affected versions not specified) **Description** The issue exists due to improper handling of objects in memory by a component of the Windows operating system, specifically related to DirectX. This can allow an attacker to elevate their privileges and execute arbitrary code in kernel mode using a specially crafted application. An elevation-of-privilege issue allows attackers to affect the system. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Windows 7 Windows Server 2012 R2 Windows RT 8.1 Windows Server 2012 Windows 8.1 Windows Server 2016 Windows Server 2008 R2 Windows 10 Windows 10 Servers **Description** The issue arises from the Windows kernel's improper handling of objects in memory, leading to an information disclosure. This could allow attackers to obtain sensitive information and affect the system. **Recommendations** For Windows 7, update to a newer version to mitigate the risk. For Windows Server 2012 R2, update to a newer version to mitigate the risk. For Windows RT 8.1, update to a newer version to mitigate the risk. For Windows Server 2012, update to a newer version to mitigate the risk. For Windows 8.1, update to a newer version to mitigate the risk. For Windows Server 2016, update to a newer version to mitigate the risk. For Windows Server 2008 R2, update to a newer version to mitigate the risk. For Windows 10, update to a newer version to mitigate the risk. For Windows 10 Servers, update to a newer version to mitigate the risk.

**Name of the Vulnerable Software and Affected Versions** Windows Server 2016 Windows 10 Windows 10 Servers **Description** A security feature bypass exists when Windows incorrectly validates kernel driver signatures. This issue allows attackers to affect the system. **Recommendations** For Windows Server 2016, update to a version that correctly validates kernel driver signatures. For Windows 10, update to a version that correctly validates kernel driver signatures. For Windows 10 Servers, update to a version that correctly validates kernel driver signatures.

Name of the Vulnerable Software and Affected Versions: Windows 10 versions 1607, 1703, and 1709 Windows Server 2016 Windows Server, version 1709 Description: The issue is related to how objects in memory are handled, allowing an elevation of privilege. This could potentially allow attackers to affect the system. Recommendations: For Windows 10 versions 1607, 1703, and 1709, update to a version that includes the fix for this issue. For Windows Server 2016 and Windows Server, version 1709, apply the necessary patch or update to resolve the elevation of privilege vulnerability. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Microsoft Windows versions prior to the fixed version Windows 7 SP1 Windows Server 2008 R2 SP1 Windows 8 Windows 8.1 Windows Server 2012 Gold and R2 Windows RT Gold and 8.1 **Description** A memory leak in the Local RPC (LRPC) server implementation allows remote attackers to cause a denial of service (memory consumption) and bypass the ASLR protection mechanism via a crafted client that sends messages with an invalid data view. The issue is related to the LRPC server not freeing messages from clients that have attached data, which is not expected for the message type. This enables a client to fill up the server's address space with such messages. **Recommendations** For Windows 7 SP1, update to a version that includes the fix for this issue. For Windows Server 2008 R2 SP1, update to a version that includes the fix for this issue. For Windows 8, update to a version that includes the fix for this issue. For Windows 8.1, update to a version that includes the fix for this issue. For Windows Server 2012 Gold and R2, update to a version that includes the fix for this issue. For Windows RT Gold and 8.1, update to a version that includes the fix for this issue. As a temporary workaround, consider restricting access to the LRPC server to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Microsoft Windows XP versions SP2 through SP3 Microsoft Windows Server 2003 version SP2 Microsoft Windows Vista version SP2 Microsoft Windows Server 2008 versions SP2 through R2 SP1 Microsoft Windows 7 versions Gold through SP1 **Description** The issue allows local users to gain privileges via a crafted application. An elevation of privilege exists in the Client/Server Run-time Subsystem (CSRSS), enabling arbitrary code to be executed in the context of another process. If the process runs with administrator privileges, an attacker could install programs, view, change, or delete data, or create new accounts with full user rights. **Recommendations** For Microsoft Windows XP versions SP2 through SP3, update to a newer version to mitigate the risk. For Microsoft Windows Server 2003 version SP2, update to a newer version to mitigate the risk. For Microsoft Windows Vista version SP2, update to a newer version to mitigate the risk. For Microsoft Windows Server 2008 versions SP2 through R2 SP1, update to a newer version to mitigate the risk. For Microsoft Windows 7 versions Gold through SP1, update to a newer version to mitigate the risk.