Исправлены, но всё ещё опасны: два Zero Click в Windows позволяют захватить устройство пользователя

Исправлены, но всё ещё опасны: два Zero Click в Windows позволяют захватить устройство пользователя

Akamai рассказала, какие системы могут быть скомпрометированы без вашего участия.

image

Бен Барнеа из компании Akamai раскрыл технические подробности о двух исправленных уязвимостях в Windows. Уязвимости могут быть использованы для удаленного выполнения кода (Remote Code Execution, RCE) в почтовом сервисе Outlook без какого-либо взаимодействия с пользователем. Отчёт Akamai составлен в двух частях [ 1 , 2 ].

  • CVE-2023-35384 (оценка CVSS: 6.5) – уязвимость обхода функции безопасности платформ Windows HTML Platforms. Обнаружена в августе;
  • CVE-2023-36710 (оценка CVSS: 7.8) – уязвимость Windows Media Foundation Core, связанная с удаленным выполнением кода. Обнаружена в октябре.

CVE-2023-35384 связана с функцией MapUrlToZone, которая может быть использована для отправки электронного письма с вредоносным файлом или URL-адресом клиенту Outlook.

CVE-2023-35384 была описана как обход критической уязвимости повышения привилегий, которую Microsoft исправила в марте 2023 года - CVE-2023-23397 (оценка CVSS: 9.8) позволяет злоумышленнику похищать хэши Net-NTLMv2 и получать доступ к аккаунтам пользователей. Кроме того, CVE-2023-23397 была использована группировкой APT28 для несанкционированного доступа к учетным записям на серверах Exchange.

Уязвимость CVE-2023-36710 затрагивает компонент Audio Compression Manager (ACM), устаревшую мультимедийную систему Windows. Она вызвана целочисленным переполнением (Integer Overflow) при воспроизведении WAV-файла. Akamai смогли вызвать уязвимость, используя кодек IMA ADP.

«Размер файла составляет примерно 1,8 ГБ. Выполнив математическую операцию ограничения при расчете, мы можем заключить, что наименьший возможный размер файла с кодеком IMA ADP составляет 1 ГБ», - отметил Барнеа.

Для снижения рисков рекомендуется использовать микросегментацию для блокирования исходящих SMB-соединений на удаленные общедоступные IP-адреса, а также отключить NTLM или добавить пользователей в группу защищенных пользователей, что предотвращает использование NTLM в качестве механизма аутентификации.

Мы нашли признаки жизни...в вашем смартфоне!

Наш канал — питательная среда для вашего интеллекта

Эволюционируйте вместе с нами — подпишитесь!