С поредна актуализация на сигурността Microsoft затвори 118 уязвимости в различни свои продукти (снимка: CC0 Public Domain)
Microsoft пусна кумулативна корекция на сигурността за своите продукти, която затваря общо 118 уязвимости. Две от тях се експлоатират активно от киберпрестъпниците. Три се считат за критични. 113 са определени като важни или с висока опасност, а други две са от средна опасност.
Регулярните месечни актуализации Patch Tuesday не включват 25-те корекции за браузъра Edge, пуснати през септември 2024 г. На пет уязвимости от списъка предварително са присвоени CVE индекси, тоест информацията за тях беше публикувана преди пускането на актуализациите.
Петте CVE уязвимости са:
- CVE-2024-43572 (CVSS резултат: 7.8) – уязвимост при отдалечено изпълнение на код на Microsoft Management Console (използвана при атаки);
- CVE-2024-43573 (CVSS резултат: 6.5) – уязвимост на подмяна на стойността в платформата Windows MSHTML (открит е експлойт);
- CVE-2024-43583 (CVSS резултат: 7.8) – уязвимост при ескалация на привилегии на Winlogon;
- CVE-2024-20659 (CVSS резултат: 7.1) – Windows Hyper-V функция за заобикаляне на уязвимост;
- CVE-2024-6197 (CVSS резултат: 8,8) – уязвимост при дистанционно изпълнение на код на Curl с отворен изходен код (CVE е присвоен от изследователи на трети страни).
Както се вижда от списъка, атаките не са насочени към най-опасните уязвимости. Нападателите обаче експлоатират бъговете доста успешно.
„Грешката” CVE-2024-43573 напомня за две други уязвимости при заместване на MSHTML – CVE-2024-38112 и CVE-2024-43461, които бяха активно използвани от кибергрупата Void Banshee за разпространение на зловреден софтуер Atlantida Stealer.
Microsoft се въздържа от публикуване на информация за това кой и как експлоатира двете вече отстранени уязвимости. Освен това за „бъга” CVE-2024-43572 са посочени имената на изследователите, които са го открили, докато за CVE-2024-43573 няма такава информация. Това, според The Hacker News, може да означава, че става въпрос за дефектна корекция на някои по-ранни уязвимости.
Американската агенция за киберсигурност и защита на инфраструктурата (CISA) нареди на всички правителствени агенции да инсталират корекции за тези уязвимости не по-късно от 29 октомври.
Най-високо оценената заплаха от всички елиминирани уязвимости е CVE-2024-43468, която е оценена с 9,8 точки по скалата на CVSS. Този “бъг” в Microsoft Configuration Manager позволява на неоторизирани хакери да изпълняват произволни команди чрез специални заявки. Те се обработват по несигурен начин, така че хакерите могат да поемат контрол върху сървъра и неговата база данни.
Още две критични уязвимости засягат разширението Visual Studio Code за Arduino (CVE-2024-43488, 8,8 точки) и сървъра на RDP протокола (CVE-2024-43582, 8,1 точки).
Във втория случай експлойтът е доста проблематичен за реализация: в уязвима среда първо трябва да се предизвика състояние на състезание и едва след това се отваря възможност за опасен достъп до паметта, в резултат на което може да се изпълни произволен код в контекста на RPC услуга.