Microsoft исправила 132 уязвимости, гарантируя пользователям безопасную инфраструктуру
NewsMakerВторник исправлений в июле оказался насыщен обновлениями опасных и 0day-уязвимостей.
Во вторник исправлений в июле Microsoft выпустила обновления для устранения 132 новых уязвимостей в системе безопасности своих продуктов, в том числе шести уязвимостей нулевого дня, которые, по словам корпорации, активно использовались в реальных условиях.
Из 130 уязвимостей 9 оцениваются как критические, а 121 — как важные. Хакеры активно эксплуатировали следующие недостатки:
В связи с отсутствием исправления для CVE-2023-36884 компания призывает пользователей Блокировать все приложения Office от создания дочерних процессов (правило «Block all Office applications from creating child processes» ) для уменьшения поверхности атаки.
Microsoft также отозвала сертификаты для подписи кода, используемые для подписи и установки вредоносных драйверов режима ядра на скомпрометированные системы. В ходе атак киберпреступники использовали лазейку в политике Windows, чтобы изменить дату подписания драйверов до 29 июля 2015 года с помощью open source инструментов «HookSignTool» и «FuckCertVerifyTimeValidity».
Полученные данные свидетельствуют о том, что использование мошеннических драйверов режима ядра набирает обороты среди злоумышленников, поскольку они работают с наивысшим уровнем привилегий в Windows, что позволяет сохранять постоянство в течение длительных периодов времени, одновременно мешая работе программного обеспечения безопасности, чтобы избежать обнаружения.
В настоящее время неясно, как используются другие недостатки и насколько широко распространяются атаки. Но в свете активных злоупотреблений рекомендуется, чтобы пользователи быстро применяли обновления для смягчения потенциальных угроз.
Ситуация на кибербезопасном фронте остаётся напряжённой. В то время как ведущие технологические компании, такие как Microsoft, продолжают борьбу с уязвимостями в своих продуктах, злоумышленники не перестают искать новые методы атаки. Ключевым советом для пользователей остаётся незамедлительное применение выпущенных обновлений безопасности, чтобы защитить свои системы от потенциальных угроз. Компании в свою очередь, должны продолжить активное взаимодействие и обмен информацией о новых угрозах и уязвимостях, чтобы предотвратить масштабные кибератаки в будущем.
Во вторник исправлений в июле Microsoft выпустила обновления для устранения 132 новых уязвимостей в системе безопасности своих продуктов, в том числе шести уязвимостей нулевого дня, которые, по словам корпорации, активно использовались в реальных условиях.
Из 130 уязвимостей 9 оцениваются как критические, а 121 — как важные. Хакеры активно эксплуатировали следующие недостатки:
- CVE-2023-32046 (оценка CVSS: 7,8) — уязвимость повышения привилегий на платформе Windows MSHTML, которая использовалась путем открытия специально созданного файла по электронной почте или через вредоносные веб-сайты. Злоумышленник получит права пользователя, запустившего уязвимое приложение;
- CVE-2023-32049 (оценка CVSS: 8,8) — уязвимость обхода функции безопасности Windows SmartScreen. Эксплуатация ошибки предотвращает отображение запроса «Открыть файл — предупреждение системы безопасности» при загрузке и открытии файлов из Интернета;
- CVE-2023-35311 (оценка CVSS: 8,8) — уязвимость обхода функции безопасности Microsoft Outlook, которая обходит предупреждения системы безопасности и работает в области предварительного просмотра. При эксплуатации уязвимости злоумышленник сможет обойти уведомление о безопасности Microsoft Outlook;
- CVE-2023-36874 (оценка CVSS: 7,8) — уязвимость повышения привилегий в службе отчетов об ошибках Windows (Windows Error Reporting Service) позволяла злоумышленникам получить права администратора на устройстве Windows. Киберпреступник должен иметь локальный доступ к целевой машине, а пользователь должен иметь возможность создавать папки и трассировки производительности на машине с ограниченными привилегиями, которыми по умолчанию обладают обычные пользователи.
- CVE-2023-36884 (оценка CVSS: 8,3) — уязвимость удаленного выполнения кода в Office и Windows HTML. Неисправленная 0day-уязвимость Microsoft Office и Windows позволяет удаленно выполнять код (Remote Code Execution, RCE ) в контексте жертвы с использованием специально созданных документов Microsoft Office.
- ADV230001 — руководство по злонамеренному использованию подписанных Microsoft драйверов. Microsoft отозвала сертификаты для подписи кода и учетные записи разработчиков, которые использовали лазейку в политике Windows для установки вредоносных драйверов режима ядра.
В связи с отсутствием исправления для CVE-2023-36884 компания призывает пользователей Блокировать все приложения Office от создания дочерних процессов (правило «Block all Office applications from creating child processes» ) для уменьшения поверхности атаки.
Microsoft также отозвала сертификаты для подписи кода, используемые для подписи и установки вредоносных драйверов режима ядра на скомпрометированные системы. В ходе атак киберпреступники использовали лазейку в политике Windows, чтобы изменить дату подписания драйверов до 29 июля 2015 года с помощью open source инструментов «HookSignTool» и «FuckCertVerifyTimeValidity».
Полученные данные свидетельствуют о том, что использование мошеннических драйверов режима ядра набирает обороты среди злоумышленников, поскольку они работают с наивысшим уровнем привилегий в Windows, что позволяет сохранять постоянство в течение длительных периодов времени, одновременно мешая работе программного обеспечения безопасности, чтобы избежать обнаружения.
В настоящее время неясно, как используются другие недостатки и насколько широко распространяются атаки. Но в свете активных злоупотреблений рекомендуется, чтобы пользователи быстро применяли обновления для смягчения потенциальных угроз.
Ситуация на кибербезопасном фронте остаётся напряжённой. В то время как ведущие технологические компании, такие как Microsoft, продолжают борьбу с уязвимостями в своих продуктах, злоумышленники не перестают искать новые методы атаки. Ключевым советом для пользователей остаётся незамедлительное применение выпущенных обновлений безопасности, чтобы защитить свои системы от потенциальных угроз. Компании в свою очередь, должны продолжить активное взаимодействие и обмен информацией о новых угрозах и уязвимостях, чтобы предотвратить масштабные кибератаки в будущем.