Microsoft выпустил пакет патчей, в том числе от той уязвимости, которую обнаружили специалисты Google
Microsoft выпустил пакет патчей, в том числе от той уязвимости, которую обнаружили специалисты Google
Мартовский набор обновлений для продуктов Microsoft содержит патчи для двух уязвимостей, уже используемых в атаках. Обе бреши вызваны некорректной работой системного компонента Win32k, позволяют повысить привилегии и оценены как существенные.
«В случае успешной эксплуатации атакующий сможет выполнить произвольный код в режиме ядра, — сказано в бюллетенях Microsoft, посвященных Win32k-багам CVE-2019-0797 и CVE-2019-0808. — В итоге он получит возможность устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые аккаунты с полным набором прав пользователя».
Уязвимость CVE-2019-0797 выявили эксперты «Лаборатории Касперского», CVE-2019-0808 — аналитик из Google. Последнюю на момент обнаружения злоумышленники использовали в целевых атаках в комбинации с брешью CVE-2019-5786 в Chrome. Патч для браузера появился неделей ранее, и атакующие, видимо, надеялись, что не все пользователи успели его установить.
Microsoft также пропатчила еще четыре существенные уязвимости, уже ставшие достоянием общественности:
- CVE-2019-0683 — повышение привилегий, служба каталогов Active Directory;
- CVE-2019-0754 — отказ в обслуживании, Windows;
- CVE-2019-0757 — возможность подмены информации, диспетчер пакетов NuGet;
- CVE-2019-0809 — удаленное выполнение произвольного кода, пакет инструментов Visual Studio.
Наиболее интересна из них брешь CVE-2019-0757, позволяющая изменять структуру папок пакета NuGet. «В случае успешной атаки ее автор получит возможность модифицировать файлы и папки, распаковываемые в системе, — поясняют участники проекта Zero Day Initiative (ZDI) в блоге. — Если ему удастся сделать это незаметно, он потенциально сможет распространить свою модификацию среди многочисленных пользователей диспетчера пакетов, и те даже не заподозрят подмену. К счастью, для этого нужно пройти аутентификацию, что в данном случае значительно снижает шансы на успех. Это один из уже опубликованных багов в текущем наборе, поэтому пользователям NuGet следует применить патч в обязательном порядке».
Эксперты также рекомендуют без отлагательств залатать три критические бреши в DHCP-клиенте Windows; эти баги удаленного исполнения кода получили 9,8 балла по шкале CVSS. «Эксплойт в данном случае особенно эффективен, так как он не требует взаимодействия с пользователем — атакующий посылает клиенту специально сформированный ответ, — сказано в блог-записи ZDI. — К тому же DHCP-клиент присутствует в каждой ОС. Чтобы гарантировать успех, автору атаки, скорее всего, придется занять положение «человек посередине», и тогда эксплуатация будет иметь обширные последствия».
Большинство серьезных уязвимостей в браузерах Edge и Internet Explorer в этом месяце представлены RCE-багами — такова, например, брешь CVE-2019-0592, крывшаяся в скриптовом движке Chakra. Она связана с ошибкой нарушения целостности памяти и позволяет выполнить любой код с правами текущего пользователя.
Совокупно Microsoft устранила 64 уязвимости; 17 из них оценены как критические, 45 — как существенные. Одновременно вышли три информационных бюллетеня, имеющие рекомендательный характер:
- ADV190009 вводит поддержку хешей SHA-2 для Windows 7 SP1, Windows Server 2008 R2 и устаревших версий WSUS; она потребуется, чтобы продолжить получать патчи в автоматическом режиме после 16 июля.
- ADV190005 предостерегает от совместного использования аккаунтов пользователя; Microsoft не одобряет такую практику и считает ее небезопасной.
- ADV190005 помогает предотвратить потенциально возможный отказ веб-сервера http.sys при получении запросов HTTP/2. Предложенная мера позволяет ограничить количество параметров SETTINGS, передаваемых в одном запросе.
