Компания признала, что злоумышленники уже атаковали системы с помощью двух проблем в Win32k и Secure Boot, а также опубликовала информацию об уязвимости в Windows OLE.
Во вторник Microsoft выпустила 38 обновлений безопасности, среди которых две уязвимости, которые уже используются злоумышленниками. Кроме того, была раскрыта еще одна уязвимость, которая пока не эксплуатируется. Рекомендуем установить эти патчи как можно скорее.
Шесть из 38 уязвимостей имеют критический уровень опасности, так как позволяют удаленное выполнение кода.
Две уязвимости, которые активно эксплуатируются, по данным Microsoft, это CVE-2023-29336 - повышение привилегий в Win32k; и CVE-2023-24932 - обход защиты Secure Boot. Последняя была использована буткитом BlackLotus для заражения компьютеров с Windows. Интересно, что BlackLotus обошел патч Microsoft, выпущенный в прошлом году, который закрывал другую уязвимость в Secure Boot. Таким образом, Microsoft исправил одну дыру в Secure Boot, а этот вредоносный код использовал другую уязвимость - CVE-2023-24932 - чтобы обойти это.
CVE-2023-29336 - уязвимость с рейтингом 7.8 из 10 в драйвере Win32k в режиме ядра, которая может быть использована для получения системных привилегий на компьютерах с Windows. “Такой тип повышения привилегий обычно сочетается с ошибкой выполнения кода для распространения вредоносного ПО”, - сказал Дастин Чайлдс из Zero Dan Initiative. Microsoft поблагодарил исследователей из Avast Яна Войтешека, Миланека и Луиджино Камастры за обнаружение и раскрытие этой ошибки.
А уязвимость CVE-2023-24932 получила отдельное совет по безопасности и руководство по настройке от Microsoft Security Response Center (MSRC), которое Microsoft говорит, что необходимо для “полной защиты от этой уязвимости”.
“Эта уязвимость позволяет злоумышленнику выполнять самоподписанный код на уровне Unified Extensible Firmware Interface (UEFI), когда Secure Boot включен”, - предупредил MSRC. “Уязвимость используется злоумышленниками в основном как механизм сохранения и обхода защиты”. Однако он также отметил, что для успешного использования этой уязвимости злоумышленнику необходим физический доступ или локальные права администратора на целевом устройстве.
Microsoft сообщает, что Мартин Смолар из ESET и Томер Сне-ор из SentinelOne раскрыли эту ошибку, а Смолар первоначально поднял тревогу о том, что BlackLotus обходит Secure Boot еще в марте . До этого Сергей Ложкин, ведущий исследователь безопасности в Kaspersky, впервые увидел BlackLotus, продаваемый на киберпреступных рынках, еще в октябре 2022 года.
BlackLotus - это UEFI буткит, который продается на хакерских форумах за около 5000 долларов, является редким видом вредоносного ПО, так как он работает на системах Windows даже с включенной функцией безопасности Secure Boot. Эта функция должна была блокировать BlackLotus.
Secure Boot предназначен для предотвращения запуска на устройствах неавторизованного или вредоносного программного обеспечения до выполнения операционной системы, такой как Windows. Направляясь на слабые места в этом процессе загрузки, BlackLotus загружается до всего остального, включая операционную систему и любые инструменты безопасности, которые могли бы его остановить. Вредоносное ПО может отключать защиту антивируса и устанавливает драйвер ядра, который получает команды от сервера управления для выполнения, фактически создавая бекдор с удаленным управлением.
Хотя Microsoft выпустил исправление для менеджера загрузки Windows в сегодняшнем патче, чтобы противостоять буткиту, обновление CVE-2023-24932 отключено по умолчанию и требует от клиентов вручную обновить систему для полного реализации защиты. Как пошутил аналитик по безопасности Уилл Дорман: “Не стесняйтесь поплакать немного и/или подумать о смене карьеры”.
В июле Microsoft выпустит второй релиз для упрощения развертывания патча. А к первому кварталу 2024 года мы получим окончательное исправление ошибки по умолчанию на всех устройствах Windows.
Наконец, раскрытая публично ошибка, которая еще не эксплуатируется (насколько мы знаем), это CVE-2023-29325 - уязвимость удаленного выполнения кода Windows OLE, которая получила рейтинг 8.1 CVSS.
Microsoft говорит, что злоумышленник может использовать эту уязвимость, отправив специально подготовленное электронное письмо цели, которая открывает его с помощью уязвимой версии Outlook или позволяет ему отображаться в окне предварительного просмотра. Хотя Outlook выглядит как наиболее вероятный вектор эксплуатации, уязвимость может повлиять на другие приложения Office, поэтому важно как можно скорее установите этот патч.
Помимо этих уязвимостей Microsoft также исправила ошибки в Azure Sphere (CVE-2023-29337), .NET Core и Visual Studio, Exchange Server, SharePoint Server, Skype for Business Server и Lync Server.
Ладно, не доказали. Но мы работаем над этим