+38/044/257-2444
+38/067/502-3306
+38/050/370-3627
Новости

Microsoft выпустил пакет патчей, в том числе от той уязвимости, которую обнаружили специалисты Google

Microsoft выпустил пакет патчей, в том числе от той уязвимости, которую обнаружили специалисты Google

Мартовский набор обновлений для продуктов Microsoft содержит патчи для двух уязвимостей, уже используемых в атаках. Обе бреши вызваны некорректной работой системного компонента Win32k, позволяют повысить привилегии и оценены как существенные.

«В случае успешной эксплуатации атакующий сможет выполнить произвольный код в режиме ядра, — сказано в бюллетенях Microsoft, посвященных Win32k-багам CVE-2019-0797 и CVE-2019-0808. — В итоге он получит возможность устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые аккаунты с полным набором прав пользователя».

Уязвимость CVE-2019-0797 выявили эксперты «Лаборатории Касперского», CVE-2019-0808 — аналитик из Google. Последнюю на момент обнаружения злоумышленники использовали в целевых атаках в комбинации с брешью CVE-2019-5786 в Chrome. Патч для браузера появился неделей ранее, и атакующие, видимо, надеялись, что не все пользователи успели его установить.

Microsoft также пропатчила еще четыре существенные уязвимости, уже ставшие достоянием общественности:

  • CVE-2019-0683 — повышение привилегий, служба каталогов Active Directory;
  • CVE-2019-0754 — отказ в обслуживании, Windows;
  • CVE-2019-0757 — возможность подмены информации, диспетчер пакетов NuGet;
  • CVE-2019-0809 — удаленное выполнение произвольного кода, пакет инструментов Visual Studio.

Наиболее интересна из них брешь CVE-2019-0757, позволяющая изменять структуру папок пакета NuGet. «В случае успешной атаки ее автор получит возможность модифицировать файлы и папки, распаковываемые в системе, — поясняют участники проекта Zero Day Initiative (ZDI) в блоге. — Если ему удастся сделать это незаметно, он потенциально сможет распространить свою модификацию среди многочисленных пользователей диспетчера пакетов, и те даже не заподозрят подмену. К счастью, для этого нужно пройти аутентификацию, что в данном случае значительно снижает шансы на успех. Это один из уже опубликованных багов в текущем наборе, поэтому пользователям NuGet следует применить патч в обязательном порядке».

Эксперты также рекомендуют без отлагательств залатать три критические бреши в DHCP-клиенте Windows; эти баги удаленного исполнения кода получили 9,8 балла по шкале CVSS. «Эксплойт в данном случае особенно эффективен, так как он не требует взаимодействия с пользователем — атакующий посылает клиенту специально сформированный ответ, — сказано в блог-записи ZDI. — К тому же DHCP-клиент присутствует в каждой ОС. Чтобы гарантировать успех, автору атаки, скорее всего, придется занять положение «человек посередине», и тогда эксплуатация будет иметь обширные последствия».

Большинство серьезных уязвимостей в браузерах Edge и Internet Explorer в этом месяце представлены RCE-багами — такова, например, брешь CVE-2019-0592, крывшаяся в скриптовом движке Chakra. Она связана с ошибкой нарушения целостности памяти и позволяет выполнить любой код с правами текущего пользователя.

Совокупно Microsoft устранила 64 уязвимости; 17 из них оценены как критические, 45 — как существенные. Одновременно вышли три информационных бюллетеня, имеющие рекомендательный характер:

  • ADV190009 вводит поддержку хешей SHA-2 для Windows 7 SP1, Windows Server 2008 R2 и устаревших версий WSUS; она потребуется, чтобы продолжить получать патчи в автоматическом режиме после 16 июля.
  • ADV190005 предостерегает от совместного использования аккаунтов пользователя; Microsoft не одобряет такую практику и считает ее небезопасной.
  • ADV190005 помогает предотвратить потенциально возможный отказ веб-сервера http.sys при получении запросов HTTP/2. Предложенная мера позволяет ограничить количество параметров SETTINGS, передаваемых в одном запросе.

Другие новости