- Специальный корреспондент
Вторник исправлений у Microsoft прошел с устранением 6 уязвимостей нулевого дня.
Microsoft выпустила августовское обновление Patch Tuesday, включающее исправления для 89 уязвимостей, среди которых 6 активно эксплуатируемых и 3 публично раскрытых zero-day. Ещё одна уязвимость нулевого дня, о которой уже известно, пока остаётся не устранённой, но Microsoft работает над обновлением.
Среди уязвимостей, исправленных в рамках обновления, 8 классифицированы как критические. Они включают в себя проблемы, связанные с повышением привилегий, удалённым выполнением кода и раскрытием информации. Примечательно, что в этот раз число уязвимостей, связанных с повышением привилегий, оказалось наиболее значительным — таких было 36.
Подробная разбивка всех исправленных уязвимостей включает:
36 уязвимостей повышения привилегий (Elevation of Privilege);
4 уязвимости обхода функций безопасности (Security Feature Bypass);
28 уязвимостей удалённого выполнения кода (Remote Code Execution, RCE);
8 уязвимостей раскрытия информации (Information Disclosure);
6 уязвимостей отказа в обслуживании (Denial of Service, DoS);
7 уязвимостей спуфинга (Spoofing).
Чтобы узнать больше о выпущенных обновлениях, не связанных с безопасностью, вы можете ознакомиться с обновлениями Windows 11 KB5041585 и Windows 10 KB5041580.
6 активно эксплуатируемых уязвимостей нулевого дня в Patch Tuesday:
CVE-2024-38178 — уязвимость повреждения памяти скриптового движка, требует от клиента аутентификации, чтобы инициировать удалённое выполнение кода. Эксплуатация уязвимости требует от пользователя клика по ссылке в Microsoft Edge в режиме Internet Explorer, что усложняет её использование, однако, несмотря на эти условия, уже зафиксированы случаи атак с использованием данной уязвимости.
CVE-2024-38193 — уязвимость повышения привилегий драйвера вспомогательной функции Windows для WinSock, позволяет злоумышленникам получить системные привилегии. Специалисты из Gen Digital обнаружили эту проблему, однако Microsoft не раскрыла деталей относительно того, как именно ошибка была выявлена и использовалась в атаках.
CVE-2024-38213 — уязвимость обхода функции безопасности Windows MotW, позволяет создавать файлы, которые обходят оповещения безопасности Mark of the Web. Microsoft утверждает, что уязвимость была обнаружена Trend Micro ZDI, но не сообщает, как ошибка используется в атаках.
CVE-2024-38106 — уязвимость ядра Windows, приводящая к повышению привилегий. Для успешной эксплуатации требуется выиграть условие гонки (race condition), что делает атаку весьма сложной, но потенциально разрушительной.
CVE-2024-38107 — повышение привилегий в Windows Power Dependency Coordinator, даёт хакерам системные привилегии на устройстве Windows. Microsoft не раскрыла, кто именно сообщил об уязвимости и как она была использована.
CVE-2024-38189 — удаленное выполнение кода в Microsoft Project. Киберпреступники могут использовать уязвимость, если удастся заставить пользователя открыть вредоносный файл, например, через фишинговую атаку. Важно, что успешная эксплуатация возможна только при отключенных функциях безопасности в Microsoft Office. Microsoft не раскрывает, кто обнаружил уязвимость и как она использовалась в атаках.
Помимо вышеуказанных уязвимостей, обновление также устраняет 4 публично раскрытые уязвимости, среди которых:
CVE-2024-38199 в службе Windows Line Printer Daemon (LPD), которая позволяет достигнуть выполнения удалённого кода при отправке специально созданного задания на печать. Ошибка уже была публично раскрыта, но её источник предпочёл остаться анонимным.
CVE-2024-21302 , которая связана с атакой Windows Downdate, позволяет откатывать обновления Windows и вновь эксплуатировать исправленные уязвимости. О проблеме рассказал исследователь безопасности Алон Левиев на конференции Black Hat 2024.
CVE-2024-38200 — уязвимость спуфинга в Microsoft Office, которая раскрывала NTLM -хэши. Атакующий мог воспользоваться уязвимостью, когда жертва открывает вредоносный файл, что заставило бы Office установить исходящее подключение к удаленному общему ресурсу, где злоумышленник мог украсть отправленные NTLM-хэши.
CVE-2024-38202 — уязвимость стека Центра обновления Windows, приводящая к повышению привилегий, также связанная с Windows Downdate. Microsoft разрабатывает обновление безопасности для устранения ошибки, но оно пока недоступно.
Кроме Microsoft, в августе 2024 года и другие компании выпустили свои обновления безопасности. Например, была исправлена уязвимость 0.0.0.0 Day, которая позволяла вредоносным сайтам обходить функции безопасности браузера и получать доступ к сервисам в локальной сети. Также выпущены обновления для Android, устраняющие активно эксплуатируемую уязвимость RCE, а Cisco предупредила об уязвимостях нулевого дня в устаревших IP-телефонах серий Small Business SPA 300 и SPA 500.
Полный список уязвимостей, устраненных в обновлениях Patch Tuesday за август 2024 года, доступен на этой странице.
Microsoft выпустила августовское обновление Patch Tuesday, включающее исправления для 89 уязвимостей, среди которых 6 активно эксплуатируемых и 3 публично раскрытых zero-day. Ещё одна уязвимость нулевого дня, о которой уже известно, пока остаётся не устранённой, но Microsoft работает над обновлением.
Среди уязвимостей, исправленных в рамках обновления, 8 классифицированы как критические. Они включают в себя проблемы, связанные с повышением привилегий, удалённым выполнением кода и раскрытием информации. Примечательно, что в этот раз число уязвимостей, связанных с повышением привилегий, оказалось наиболее значительным — таких было 36.
Подробная разбивка всех исправленных уязвимостей включает:
36 уязвимостей повышения привилегий (Elevation of Privilege);
4 уязвимости обхода функций безопасности (Security Feature Bypass);
28 уязвимостей удалённого выполнения кода (Remote Code Execution, RCE);
8 уязвимостей раскрытия информации (Information Disclosure);
6 уязвимостей отказа в обслуживании (Denial of Service, DoS);
7 уязвимостей спуфинга (Spoofing).
Чтобы узнать больше о выпущенных обновлениях, не связанных с безопасностью, вы можете ознакомиться с обновлениями Windows 11 KB5041585 и Windows 10 KB5041580.
6 активно эксплуатируемых уязвимостей нулевого дня в Patch Tuesday:
CVE-2024-38178 — уязвимость повреждения памяти скриптового движка, требует от клиента аутентификации, чтобы инициировать удалённое выполнение кода. Эксплуатация уязвимости требует от пользователя клика по ссылке в Microsoft Edge в режиме Internet Explorer, что усложняет её использование, однако, несмотря на эти условия, уже зафиксированы случаи атак с использованием данной уязвимости.
CVE-2024-38193 — уязвимость повышения привилегий драйвера вспомогательной функции Windows для WinSock, позволяет злоумышленникам получить системные привилегии. Специалисты из Gen Digital обнаружили эту проблему, однако Microsoft не раскрыла деталей относительно того, как именно ошибка была выявлена и использовалась в атаках.
CVE-2024-38213 — уязвимость обхода функции безопасности Windows MotW, позволяет создавать файлы, которые обходят оповещения безопасности Mark of the Web. Microsoft утверждает, что уязвимость была обнаружена Trend Micro ZDI, но не сообщает, как ошибка используется в атаках.
CVE-2024-38106 — уязвимость ядра Windows, приводящая к повышению привилегий. Для успешной эксплуатации требуется выиграть условие гонки (race condition), что делает атаку весьма сложной, но потенциально разрушительной.
CVE-2024-38107 — повышение привилегий в Windows Power Dependency Coordinator, даёт хакерам системные привилегии на устройстве Windows. Microsoft не раскрыла, кто именно сообщил об уязвимости и как она была использована.
CVE-2024-38189 — удаленное выполнение кода в Microsoft Project. Киберпреступники могут использовать уязвимость, если удастся заставить пользователя открыть вредоносный файл, например, через фишинговую атаку. Важно, что успешная эксплуатация возможна только при отключенных функциях безопасности в Microsoft Office. Microsoft не раскрывает, кто обнаружил уязвимость и как она использовалась в атаках.
Помимо вышеуказанных уязвимостей, обновление также устраняет 4 публично раскрытые уязвимости, среди которых:
CVE-2024-38199 в службе Windows Line Printer Daemon (LPD), которая позволяет достигнуть выполнения удалённого кода при отправке специально созданного задания на печать. Ошибка уже была публично раскрыта, но её источник предпочёл остаться анонимным.
CVE-2024-21302 , которая связана с атакой Windows Downdate, позволяет откатывать обновления Windows и вновь эксплуатировать исправленные уязвимости. О проблеме рассказал исследователь безопасности Алон Левиев на конференции Black Hat 2024.
CVE-2024-38200 — уязвимость спуфинга в Microsoft Office, которая раскрывала NTLM -хэши. Атакующий мог воспользоваться уязвимостью, когда жертва открывает вредоносный файл, что заставило бы Office установить исходящее подключение к удаленному общему ресурсу, где злоумышленник мог украсть отправленные NTLM-хэши.
CVE-2024-38202 — уязвимость стека Центра обновления Windows, приводящая к повышению привилегий, также связанная с Windows Downdate. Microsoft разрабатывает обновление безопасности для устранения ошибки, но оно пока недоступно.
Кроме Microsoft, в августе 2024 года и другие компании выпустили свои обновления безопасности. Например, была исправлена уязвимость 0.0.0.0 Day, которая позволяла вредоносным сайтам обходить функции безопасности браузера и получать доступ к сервисам в локальной сети. Также выпущены обновления для Android, устраняющие активно эксплуатируемую уязвимость RCE, а Cisco предупредила об уязвимостях нулевого дня в устаревших IP-телефонах серий Small Business SPA 300 и SPA 500.
Полный список уязвимостей, устраненных в обновлениях Patch Tuesday за август 2024 года, доступен на этой странице.
