В том числе 3 нулевых дня, которые активно использовались киберпреступниками.
Во вторник 14 февраля Microsoft выпустила обновления для системы безопасности , устраняющие 75 уязвимостей, 3 из которых активно используются в дикой природе.
Из 75 уязвимостей 9 оцениваются как критические, а 66 — как важные. 37 ошибок классифицируются как недостатки удаленного выполнения кода (RCE). 3 ошибки нулевых дня, которые активно использовались, следующие:
Успешная эксплуатация вышеуказанных недостатков может позволить киберпреступнику получить системные привилегии, а также обойти механизм защиты Office в отношении макросов, используемый для блокировки ненадежных или вредоносных файлов.
Атака с использованием CVE-2023-21715 осуществляется локально пользователем с аутентификацией в целевой системе. Аутентифицированный злоумышленник может воспользоваться недостатком, убедив жертву с помощью социальной инженерии загрузить и открыть специально созданный файл с веб-сайта, что может привести к локальной атаке на компьютер жертвы».
В отношении CVE-2023-23376 Microsoft написала, что драйвер Windows Common Log File System Driver — это компонент ОС Windows, который управляет и поддерживает высокопроизводительную файловую систему журналов на основе транзакций. Это важный компонент операционной системы Windows, и любые уязвимости в этом драйвере могут иметь опасные последствия для безопасности и надежности системы.
Кроме того, уязвимости CVE-2023-21823 подвержен Microsoft OneNote для Android и, поскольку служба создания заметок все чаще становится каналом для доставки вредоносных программ , крайне важно применить эти исправления.
Microsoft также исправила многочисленные недостатки в:
Три уязвимости Exchange Server классифицируются компанией как «эксплуатация с большей вероятностью», хотя для успешной эксплуатации требуется, чтобы злоумышленник уже прошел аутентификацию.
Обновления от других поставщиков
Помимо Microsoft, за последние несколько недель обновления безопасности были выпущены другими поставщиками для устранения нескольких уязвимостей, в том числе —
Разбираем кейсы, делимся опытом, учимся на чужих ошибках