Большое обновление Microsoft: исправлены 132 уязвимости, включая 0day, но одна всё ещё представляет опасную угрозу

Во вторник исправлений в июле Microsoft выпустила обновления для устранения 132 новых уязвимостей в системе безопасности своих продуктов, в том числе шести уязвимостей нулевого дня, которые, по словам корпорации, активно использовались в реальных условиях.

Из 130 уязвимостей 9 оцениваются как критические, а 121 — как важные. Хакеры активно эксплуатировали следующие недостатки:

• CVE-2023-32046 (оценка CVSS: 7,8) — уязвимость повышения привилегий на платформе Windows MSHTML, которая использовалась путем открытия специально созданного файла по электронной почте или через вредоносные веб-сайты. Злоумышленник получит права пользователя, запустившего уязвимое приложение;
• CVE-2023-32049 (оценка CVSS: 8,8) — уязвимость обхода функции безопасности Windows SmartScreen. Эксплуатация ошибки предотвращает отображение запроса «Открыть файл — предупреждение системы безопасности» при загрузке и открытии файлов из Интернета;
• CVE-2023-35311 (оценка CVSS: 8,8) — уязвимость обхода функции безопасности Microsoft Outlook, которая обходит предупреждения системы безопасности и работает в области предварительного просмотра. При эксплуатации уязвимости злоумышленник сможет обойти уведомление о безопасности Microsoft Outlook;
• CVE-2023-36874 (оценка CVSS: 7,8) — уязвимость повышения привилегий в службе отчетов об ошибках Windows (Windows Error Reporting Service) позволяла злоумышленникам получить права администратора на устройстве Windows. Киберпреступник должен иметь локальный доступ к целевой машине, а пользователь должен иметь возможность создавать папки и трассировки производительности на машине с ограниченными привилегиями, которыми по умолчанию обладают обычные пользователи.
• CVE-2023-36884 (оценка CVSS: 8,3) — уязвимость удаленного выполнения кода в Office и Windows HTML. Неисправленная 0day-уязвимость Microsoft Office и Windows позволяет удаленно выполнять код (Remote Code Execution, RCE) в контексте жертвы с использованием специально созданных документов Microsoft Office.
• ADV230001 — руководство по злонамеренному использованию подписанных Microsoft драйверов. Microsoft отозвала сертификаты для подписи кода и учетные записи разработчиков, которые использовали лазейку в политике Windows для установки вредоносных драйверов режима ядра.

Корпорация Microsoft заявила, что её известно о целенаправленных атаках на оборонные и правительственные учреждения в Европе и Северной Америке , в ходе которых злоумышленники пытаются эксплуатировать CVE-2023-36884 с использованием специально созданных приманок для документов Microsoft Office, связанных со Всемирным конгрессом украинцев.

В связи с отсутствием исправления для CVE-2023-36884 компания призывает пользователей блокировать все приложения Office от создания дочерних процессов (правило «Block all Office applications from creating child processes» ) для уменьшения поверхности атаки.

Microsoft также отозвала сертификаты для подписи кода , используемые для подписи и установки вредоносных драйверов режима ядра на скомпрометированные системы. В ходе атак киберпреступники использовали лазейку в политике Windows, чтобы изменить дату подписания драйверов до 29 июля 2015 года с помощью open source инструментов «HookSignTool» и «FuckCertVerifyTimeValidity».

Полученные данные свидетельствуют о том, что использование мошеннических драйверов режима ядра набирает обороты среди злоумышленников, поскольку они работают с наивысшим уровнем привилегий в Windows, что позволяет сохранять постоянство в течение длительных периодов времени, одновременно мешая работе программного обеспечения безопасности, чтобы избежать обнаружения.

В настоящее время неясно, как используются другие недостатки и насколько широко распространяются атаки. Но в свете активных злоупотреблений рекомендуется, чтобы пользователи быстро применяли обновления для смягчения потенциальных угроз.

Исправления от других поставщиков

Помимо Microsoft, за последние несколько недель обновления безопасности были выпущены другими поставщиками для устранения нескольких уязвимостей, в том числе:

• AMD выпустила WHQL-драйвер Adrenalin 23.7.1 для Windows;
• Apple выпустила обновления Rapid Security Response (RSR) , чтобы исправить активно используемую уязвимость WebKit. Однако Apple вскоре удалила обновление после того, как обнаружение пользовательского агента некоторых служб было нарушено и заставило веб-сайты начать показывать ошибки в Safari на исправленных устройствах.
• Cisco выпустила обновления безопасности для Cisco DUO, Webex, Secure Email Gateway, коммутаторов Cisco Nexus серии 9000 Fabric и других устройств.
• Google выпустила обновления Android за июль 2023 года , чтобы исправить активно используемые уязвимости.
• Linux исправила опасную уязвимость StackRot , которая позволяет повысить привилегии. StackRot влияет на все конфигурации ядра в версиях Linux с 6.1 по 6.4.
• Microsoft выпустила июльские обновления Windows Subsystem for Android в Windows 11.
• Компания MOVEit выпустила исправления критической уязвимости SQL-инъекции и две другие менее серьезные уязвимости.
• SAP выпустила обновления в рамках вторника исправлений за июль 2023 года.
• VMware выпустила обновления VMware SD-WAN для устранения уязвимости обхода аутентификации.

Ситуация на кибербезопасном фронте остаётся напряжённой. В то время как ведущие технологические компании, такие как Microsoft, продолжают борьбу с уязвимостями в своих продуктах, злоумышленники не перестают искать новые методы атаки.

Ключевым советом для пользователей остаётся незамедлительное применение выпущенных обновлений безопасности, чтобы защитить свои системы от потенциальных угроз. Компании в свою очередь, должны продолжить активное взаимодействие и обмен информацией о новых угрозах и уязвимостях, чтобы предотвратить масштабные кибератаки в будущем.