13/07/23
Во вторник исправлений в июле Microsoft выпустила обновления для устранения 132 новых уязвимостей в системе безопасности своих продуктов, в том числе шести уязвимостей нулевого дня, которые, по словам корпорации, активно использовались в реальных условиях.
Из 130 уязвимостей 9 оцениваются как критические, а 121 — как важные. Хакеры активно эксплуатировали следующие недостатки:
- CVE-2023-32046 (оценка CVSS: 7,8) — уязвимость повышения привилегий на платформе Windows MSHTML, которая использовалась путем открытия специально созданного файла по электронной почте или через вредоносные веб-сайты. Злоумышленник получит права пользователя, запустившего уязвимое приложение;
- CVE-2023-32049 (оценка CVSS: 8,8) — уязвимость обхода функции безопасности Windows SmartScreen. Эксплуатация ошибки предотвращает отображение запроса «Открыть файл — предупреждение системы безопасности» при загрузке и открытии файлов из Интернета;
- CVE-2023-35311 (оценка CVSS: 8,8) — уязвимость обхода функции безопасности Microsoft Outlook, которая обходит предупреждения системы безопасности и работает в области предварительного просмотра. При эксплуатации уязвимости злоумышленник сможет обойти уведомление о безопасности Microsoft Outlook;
- CVE-2023-36874 (оценка CVSS: 7,8) — уязвимость повышения привилегий в службе отчетов об ошибках Windows (Windows Error Reporting Service) позволяла злоумышленникам получить права администратора на устройстве Windows. Киберпреступник должен иметь локальный доступ к целевой машине, а пользователь должен иметь возможность создавать папки и трассировки производительности на машине с ограниченными привилегиями, которыми по умолчанию обладают обычные пользователи.
- CVE-2023-36884 (оценка CVSS: 8,3) — уязвимость удаленного выполнения кода в Office и Windows HTML. Неисправленная 0day-уязвимость Microsoft Office и Windows позволяет удаленно выполнять код (Remote Code Execution, RCE) в контексте жертвы с использованием специально созданных документов Microsoft Office.
- ADV230001 — руководство по злонамеренному использованию подписанных Microsoft драйверов. Microsoft отозвала сертификаты для подписи кода и учетные записи разработчиков, которые использовали лазейку в политике Windows для установки вредоносных драйверов режима ядра.
В связи с отсутствием исправления для CVE-2023-36884 компания призывает пользователей блокировать все приложения Office от создания дочерних процессов (правило «Block all Office applications from creating child processes») для уменьшения поверхности атаки.
Microsoft также отозвала сертификаты для подписи кода, используемые для подписи и установки вредоносных драйверов режима ядра на скомпрометированные системы. В ходе атак киберпреступники использовали лазейку в политике Windows, чтобы изменить дату подписания драйверов до 29 июля 2015 года с помощью open source инструментов «HookSignTool» и «FuckCertVerifyTimeValidity».
