Vulnerabilidade de negação de serviço do .NET Framework

CVE-2022-26832

Security Vulnerability

Lançado: 12 de abr de 2022

Ultima atualização: 24 de jun de 2024

Assigning CNA: Microsoft

CVE.org link: CVE-2022-26832

Impacto: Negação de Serviço

Gravidade máxima: Importante

CVSS Source: Microsoft

Cadeia de caracteres vetoriais: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C

Metrics: CVSS:3.1 7.5 / 6.5

Metric

Value

Métricas de pontuação de base(8)

Vetor de ataque

Essa métrica reflete o contexto pelo qual a exploração da vulnerabilidade é possível. A Pontuação Básica aumenta quanto mais remoto (lógica e fisicamente) um invasor possa estar para explorar o componente vulnerável.

Rede

O componente vulnerável está vinculado à pilha de rede, e o conjunto de possíveis invasores se estende além das outras opções listadas, até e incluindo toda a Internet. Essa vulnerabilidade é frequentemente denominada 'explorável remotamente' e pode ser considerada um ataque explorável no nível de protocolo, a um ou mais saltos de rede de distância (por exemplo, por meio de um ou mais roteadores).

Complexidade do ataque

Essa métrica descreve as condições fora do controle do invasor que devem existir para a exploração da vulnerabilidade. Tais condições podem exigir a coleta de mais informações sobre o alvo ou exceções computacionais. A avaliação dessa métrica exclui quaisquer requisitos de interação do usuário para explorar a vulnerabilidade. Se for necessária uma configuração específica para que um ataque seja bem-sucedido, as métricas básicas deverão ser pontuadas presumindo que o componente vulnerável esteja nessa configuração.

Baixa

Não existem condições de acesso especializadas ou circunstâncias atenuantes. Um invasor pode esperar ter sucesso repetível contra o componente vulnerável.

Privilégios necessários

Essa métrica descreve o nível de privilégios que um invasor deve ter para de explorar a vulnerabilidade com êxito.

Nenhuma

O invasor não é autorizado antes do ataque e, portanto, não requer acesso às configurações nem aos arquivos para realizar um ataque.

Interação do usuário

Essa métrica captura a necessidade de um usuário, que não seja o invasor, participar do comprometimento bem-sucedido do componente vulnerável. Essa métrica determina se a vulnerabilidade pode ser explorada exclusivamente por vontade do invasor ou se um usuário separado (ou um processo iniciado pelo usuário) deve participar de alguma maneira.

Nenhuma

O sistema vulnerável pode ser explorado sem qualquer interação de qualquer usuário.

Escopo

Um ataque bem-sucedido afeta um componente que não seja o componente vulnerável? Em caso afirmativo, a Pontuação Básica aumenta, e as métricas de Confidencialidade, Integridade e Autenticação devem ser pontuadas em relação ao componente afetado.

Inalterado

Uma vulnerabilidade explorada pode afetar apenas recursos gerenciados pela mesma autoridade de segurança. Nesse caso, o componente vulnerável e o componente afetado são os mesmos ou ambos são gerenciados pela mesma autoridade de segurança.

Confidencialidade

Essa métrica mede o impacto sobre a confidencialidade dos recursos de informações gerenciados por um componente de software devido a uma vulnerabilidade explorada com êxito. Confidencialidade refere-se a limitar o acesso e a divulgação de informações apenas a usuários autorizados, bem como impedir o acesso ou a divulgação a usuários não autorizados.

Nenhuma

Não há perda de confidencialidade no componente afetado.

Integridade

Essa métrica mede o impacto na integridade de uma vulnerabilidade explorada com êxito. Integridade se refere à confiabilidade e à veracidade das informações.

Nenhuma

Não há perda de integridade no componente afetado.

Disponibilidade

Essa métrica mede o impacto na disponibilidade do componente afetado resultante de uma vulnerabilidade explorada com êxito. Refere-se à perda de disponibilidade do próprio componente afetado, como um serviço em rede (por exemplo, Web, banco de dados, email). Como a disponibilidade se refere à acessibilidade dos recursos de informações, os ataques que consomem largura de banda da rede, ciclos do processador ou espaço em disco afetam a disponibilidade de um componente atingido.

Alta

Há perda total de disponibilidade, fazendo com que o invasor seja capaz de negar totalmente o acesso aos recursos no componente afetado; essa perda é sustentada (enquanto o invasor continua a realizar o ataque) ou persistente (a condição persiste mesmo após a conclusão do ataque). Como alternativa, o invasor tem a capacidade de negar alguma disponibilidade, mas a perda de disponibilidade apresenta uma consequência direta e séria para o componente afetado (por exemplo, o invasor não pode interromper as conexões existentes, mas pode impedir novas conexões; o invasor pode explorar repetidamente uma vulnerabilidade que, em cada instância de um ataque bem-sucedido, vaza apenas uma pequena quantidade de memória, mas após a exploração repetida faz com que um serviço fique completamente indisponível).

Métricas de pontuação temporal(3)

Maturidade do código de exploração

Essa métrica mede a probabilidade de a vulnerabilidade ser atacada e normalmente se baseia no estado atual das técnicas de exploração, na disponibilidade pública do código de exploração ou na exploração ativa em certos ambientes.

Não provado

Nenhum código de exploração está disponível publicamente ou a exploração é teórica.

Nível de remediação

O Nível de Remediação de uma vulnerabilidade é um fator importante para a priorização. Não são aplicados patches a uma vulnerabilidade típica quando ela publicada inicialmente. Soluções alternativas ou hotfixes podem oferecer remediação provisória até que um patch ou atualização oficial seja lançado. Cada um desses respectivos estágios ajusta a pontuação temporal para baixo, refletindo a urgência decrescente conforme a remediação se torna final.

Correção oficial

Está disponível uma solução completa do fornecedor. O fornecedor emitiu um patch oficial ou está disponível uma atualização.

Confiança do relatório

Essa métrica mede o grau de confiança na existência da vulnerabilidade e a credibilidade dos detalhes técnicos conhecidos. Às vezes, apenas a existência de vulnerabilidades é divulgada, mas sem detalhes específicos. Por exemplo, um impacto pode ser reconhecido como indesejável, mas a causa raiz pode não ser conhecida. A vulnerabilidade pode ser corroborada posteriormente por pesquisas que sugerem onde a vulnerabilidade pode estar, embora possam não ter certeza. Finalmente, uma vulnerabilidade pode ser confirmada pelo reconhecimento pelo autor ou fornecedor da tecnologia afetada. A urgência de uma vulnerabilidade é maior quando se tem certeza da existência de uma vulnerabilidade. Essa métrica também sugere o nível de conhecimento técnico disponível para possíveis invasores.

Confirmado

Existem relatórios detalhados ou a reprodução funcional é possível (explorações funcionais podem fornecer isso). O código-fonte está disponível para verificar de forma independente as afirmações da pesquisa ou o autor ou o fornecedor do código afetado confirmou a presença da vulnerabilidade.

Consulte Sistema de pontuação de vulnerabilidade comum para obter mais informações sobre a definição dessas métricas.

Exploração

A tabela a seguir fornece uma avaliação de exploração dessa vulnerabilidade no momento da publicação original.

Publicly disclosed: No
Exploited: No
Exploitability assessment: Probabilidade menor de exploração

Agradecimentos

Orange Tsai (@orange_8361) with DEVCORE

A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Atualizações de segurança

Para determinar o ciclo de vida de suporte de seu software, consulte o Ciclo de vida de suporte da Microsoft.

Data de lançamento Descending

Data de lançamento

Produto

Plataforma

Impacto

Gravidade máxima

Artigo

Download

Build Number

12 de abr de 2022

Microsoft .NET Framework 3.5 AND 4.6.2/4.7/4.7.1/4.7.2

Windows 10 Version 1607 for x64-based Systems

Denial of Service

Important

5012596

Security Update

10.0.14393.5066

12 de abr de 2022

Microsoft .NET Framework 3.5 AND 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2016 (Server Core installation)

Denial of Service

Important

5012596

Security Update

10.0.14393.5066

12 de abr de 2022

Microsoft .NET Framework 3.5 AND 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2016

Denial of Service

Important

5012596

Security Update

10.0.14393.5066

12 de abr de 2022

Microsoft .NET Framework 3.5 AND 4.6.2/4.7/4.7.1/4.7.2

Windows 10 Version 1607 for 32-bit Systems

Denial of Service

Important

5012596

Security Update

10.0.14393.5066

12 de abr de 2022

Microsoft .NET Framework 3.5 AND 4.7.2

Windows Server 2019 (Server Core installation)

Denial of Service

Important

5012328

Security Update

4.7.3930.02

12 de abr de 2022

Microsoft .NET Framework 3.5 AND 4.7.2

Windows Server 2019

Denial of Service

Important

5012328

Security Update

4.7.3930.02

12 de abr de 2022

Microsoft .NET Framework 3.5 AND 4.8

Windows Server 2019

Denial of Service

Important

5012328

Security Update

4.8.4494.03

12 de abr de 2022

Microsoft .NET Framework 4.8

Windows Server 2016 (Server Core installation)

Denial of Service

Important

5012118

Security Update

4.8.4494.03

12 de abr de 2022

Microsoft .NET Framework 4.8

Windows Server 2016

Denial of Service

Important

5012118

Security Update

4.8.4494.03

12 de abr de 2022

Microsoft .NET Framework 3.5 AND 4.8

Windows Server 2019 (Server Core installation)

Denial of Service

Important

5012328

Security Update

4.8.4494.03

12 de abr de 2022

Microsoft .NET Framework 3.0 Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2

Denial of Service

Important

2.0.50727.8962
2.0.50727.8962

12 de abr de 2022

Microsoft .NET Framework 4.6

Windows Server 2008 for x64-based Systems Service Pack 2

Denial of Service

Important

4.7.03930.02
4.7.3930.01

12 de abr de 2022

Microsoft .NET Framework 2.0 Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2

Denial of Service

Important

2.0.50727.8962
2.0.50727.8962

12 de abr de 2022

Microsoft .NET Framework 4.6

Windows Server 2008 for 32-bit Systems Service Pack 2

Denial of Service

Important

4.0.52732.36732
4.7.3930.01

12 de abr de 2022

Microsoft .NET Framework 3.5 AND 4.8

Windows 10 Version 1909 for 32-bit Systems

Denial of Service

Important

5012120

Security Update

4.8.4494.03

12 de abr de 2022

Microsoft .NET Framework 4.5.2

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Denial of Service

Important

4.0.52732.36732
4.0.52734.36734

12 de abr de 2022

Microsoft .NET Framework 4.5.2

Windows Server 2012 (Server Core installation)

Denial of Service

Important

4.0.52730.36730
4.0.52730.36730

12 de abr de 2022

Microsoft .NET Framework 4.5.2

Windows Server 2012 R2

Denial of Service

Important

4.0.52730.36730
4.0.52730.3673

12 de abr de 2022

Microsoft .NET Framework 3.5.1

Windows 7 for 32-bit Systems Service Pack 1

Denial of Service

Important

6.1.50727.8962
2.0.50727.8962

12 de abr de 2022

Microsoft .NET Framework 3.5

Windows Server 2012 R2 (Server Core installation)

Denial of Service

Important

-
2.0.50727.8962

12 de abr de 2022

Microsoft .NET Framework 3.5

Windows Server 2012 R2

Denial of Service

Important

-
2.0.50727.8962

12 de abr de 2022

Microsoft .NET Framework 3.5

Windows Server 2012

Denial of Service

Important

2.0.50727.8962
2.0.50727.8962

12 de abr de 2022

Microsoft .NET Framework 3.5.1

Windows 7 for x64-based Systems Service Pack 1

Denial of Service

Important

6.1.50727.8962
2.0.50727.8962

12 de abr de 2022

Microsoft .NET Framework 4.8

Windows 7 for 32-bit Systems Service Pack 1

Denial of Service

Important

4.8.04494.03
4.8.4494.01

12 de abr de 2022

Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Denial of Service

Important

4.7.03930.02
4.7.3930.01

12 de abr de 2022

Microsoft .NET Framework 4.5.2

Windows Server 2008 for x64-based Systems Service Pack 2

Denial of Service

Important

52732.36732
4.0.52734.36734

12 de abr de 2022

Microsoft .NET Framework 4.8

Windows 10 Version 1607 for 32-bit Systems

Denial of Service

Important

5012118

Security Update

4.8.4494.03

12 de abr de 2022

Microsoft .NET Framework 3.5 AND 4.8

Windows Server 2022

Denial of Service

Important

5012123

Security Update

4.8.4494.03

12 de abr de 2022

Microsoft .NET Framework 3.5 AND 4.8

Windows 10 Version 1809 for x64-based Systems

Denial of Service

Important

5012328

Security Update

4.8.4494.03

12 de abr de 2022

Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Denial of Service

Important

4.7.03930.02
4.7.3930.01

12 de abr de 2022

Microsoft .NET Framework 4.5.2

Windows Server 2012

Denial of Service

Important

4.0.52730.36730
4.0.52730.36730

12 de abr de 2022

Microsoft .NET Framework 4.8

Windows RT 8.1

Denial of Service

Important

5012331

Monthly Rollup

4.8.04494.03

12 de abr de 2022

Microsoft .NET Framework 4.8

Windows 7 for x64-based Systems Service Pack 1

Denial of Service

Important

4.8.04494.03
4.8.4494.01

12 de abr de 2022

Microsoft .NET Framework 4.8

Windows 10 Version 1607 for x64-based Systems

Denial of Service

Important

5012118

Security Update

4.8.4494.03

12 de abr de 2022

Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2

Windows Server 2012 (Server Core installation)

Denial of Service

Important

4.703930.02
4.7.3930.01

12 de abr de 2022

Microsoft .NET Framework 4.8

Windows Server 2012 (Server Core installation)

Denial of Service

Important

4.8.04494.03
4.8.4494.01

12 de abr de 2022

Microsoft .NET Framework 4.8

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Denial of Service

Important

4.8.04494.03
4.8.4494.01

12 de abr de 2022

Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2

Windows Server 2012 R2 (Server Core installation)

Denial of Service

Important

4.7.03930.02
4.0.3930.01

12 de abr de 2022

Microsoft .NET Framework 3.5 AND 4.7.2

Windows 10 Version 1809 for ARM64-based Systems

Denial of Service

Important

5012328

Security Update

4.7.3930.02

12 de abr de 2022

Microsoft .NET Framework 3.5 AND 4.7.2

Windows 10 Version 1809 for x64-based Systems

Denial of Service

Important

5012328

Security Update

4.7.3930.02

All results loaded

Todas as 86 linhas foram carregadas

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento da Microsoft são apresentadas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

version

revisionDate

description

4.1

24 de jun de 2024

Updated the build numbers. This is an informational update only.

4.0

9 de ago de 2022

To comprehensively address this vulnerability, Microsoft has released Monthly Rollup KB5016268 for .NET Framework 3.5 installed on Windows 8.1 and Windows Server 2012 R2. Microsoft strongly recommends that customers install the update to be fully protected from the vulnerability. Customers whose systems are configured to receive automatic updates do not need to take any further action.

3.0

14 de jun de 2022

In the Security Updates table, added .NET Framework 4.6.2/4.7/4.7.1/4.7.2 installed on Windows 10 version 1607, Windows Server 2016, and Windows Server 2016 (Server Core installation) as these versions of Window 10 and Windows Server with .NET Framework 4.6.2/4.7/4.7.1/4.7.2 installed are affected by this vulnerability. Customers running these versions of .NET Framework should install the April 2022 security updates to be protected from this vulnerability.

2.0

19 de abr de 2022

In the Security Updates table, added .NET Framework 4.8 installed on Windows Server 2016 and Windows Server 2016 (Server Core installation), .NET Framework 3.5 and 4.7.2 intalled on Windows Server 2019 and Windows Server 2019 (Server Core installation), and .NET Framework 3.5 and 4.8 installed on Windows Server 2019 and Windows Server 2019 (Server Core installation) as these versions of Windows Server with these versions of .NET Framework installed are affected by this vulnerability. Customers running these versions of .NET Framework should install the April 2022 security updates to be protected from this vulnerability.

1.0

12 de abr de 2022

Information published.

Qual é seu nível de satisfação com o Guia de Atualização de Segurança do MSRC?