- Специальный корреспондент
Вторник исправлений в июле оказался насыщен обновлениями опасных и 0day-уязвимостей.
Во вторник исправлений в июле выпустила обновления для устранения в системе безопасности своих продуктов, в том числе шести уязвимостей нулевого дня, которые, по словам корпорации, активно использовались в реальных условиях.
Из 130 уязвимостей 9 оцениваются как критические, а 121 — как важные. Хакеры активно эксплуатировали следующие недостатки:
Корпорация Microsoft заявила, что её известно о , в ходе которых злоумышленники пытаются эксплуатировать CVE-2023-36884 с использованием специально созданных приманок для документов Microsoft Office, связанных со Всемирным конгрессом украинцев.
В связи с отсутствием исправления для CVE-2023-36884 компания призывает пользователей блокировать все приложения Office от создания дочерних процессов (правило ) для уменьшения поверхности атаки.
Microsoft также , используемые для подписи и установки вредоносных драйверов режима ядра на скомпрометированные системы. В ходе атак киберпреступники использовали лазейку в политике Windows, чтобы изменить дату подписания драйверов до 29 июля 2015 года с помощью open source инструментов «HookSignTool» и «FuckCertVerifyTimeValidity».
Полученные данные свидетельствуют о том, что использование мошеннических драйверов режима ядра набирает обороты среди злоумышленников, поскольку они работают с наивысшим уровнем привилегий в Windows, что позволяет сохранять постоянство в течение длительных периодов времени, одновременно мешая работе программного обеспечения безопасности, чтобы избежать обнаружения.
В настоящее время неясно, как используются другие недостатки и насколько широко распространяются атаки. Но в свете активных злоупотреблений рекомендуется, чтобы пользователи быстро применяли обновления для смягчения потенциальных угроз.
Исправления от других поставщиков
Помимо Microsoft, за последние несколько недель обновления безопасности были выпущены другими поставщиками для устранения нескольких уязвимостей, в том числе:
Ситуация на кибербезопасном фронте остаётся напряжённой. В то время как ведущие технологические компании, такие как Microsoft, продолжают борьбу с уязвимостями в своих продуктах, злоумышленники не перестают искать новые методы атаки.
Ключевым советом для пользователей остаётся незамедлительное применение выпущенных обновлений безопасности, чтобы защитить свои системы от потенциальных угроз. Компании в свою очередь, должны продолжить активное взаимодействие и обмен информацией о новых угрозах и уязвимостях, чтобы предотвратить масштабные кибератаки в будущем.
Во вторник исправлений в июле выпустила обновления для устранения в системе безопасности своих продуктов, в том числе шести уязвимостей нулевого дня, которые, по словам корпорации, активно использовались в реальных условиях.
Из 130 уязвимостей 9 оцениваются как критические, а 121 — как важные. Хакеры активно эксплуатировали следующие недостатки:
- (оценка CVSS: 7,8) — уязвимость повышения привилегий на платформе MSHTML, которая использовалась путем открытия специально созданного файла по электронной почте или через вредоносные веб-сайты. Злоумышленник получит права пользователя, запустившего уязвимое приложение;
- (оценка CVSS: 8,8) — уязвимость обхода функции безопасности Windows SmartScreen. Эксплуатация ошибки предотвращает отображение запроса «Открыть файл — предупреждение системы безопасности» при загрузке и открытии файлов из Интернета;
- (оценка CVSS: 8,8) — уязвимость обхода функции безопасности Microsoft Outlook, которая обходит предупреждения системы безопасности и работает в области предварительного просмотра. При эксплуатации уязвимости злоумышленник сможет обойти уведомление о безопасности Microsoft Outlook;
- (оценка CVSS: 7,8) — уязвимость повышения привилегий в службе отчетов об ошибках Windows (Windows Error Reporting Service) позволяла злоумышленникам получить права администратора на устройстве Windows. Киберпреступник должен иметь локальный доступ к целевой машине, а пользователь должен иметь возможность создавать папки и трассировки производительности на машине с ограниченными привилегиями, которыми по умолчанию обладают обычные пользователи.
- (оценка CVSS: 8,3) — уязвимость удаленного выполнения кода в Office и Windows HTML. Неисправленная 0day-уязвимость Microsoft Office и Windows позволяет удаленно выполнять код (Remote Code Execution, ) в контексте жертвы с использованием специально созданных документов Microsoft Office.
- — руководство по злонамеренному использованию подписанных Microsoft драйверов. Microsoft отозвала сертификаты для подписи кода и учетные записи разработчиков, которые использовали лазейку в политике Windows для установки вредоносных драйверов режима ядра.
Корпорация Microsoft заявила, что её известно о , в ходе которых злоумышленники пытаются эксплуатировать CVE-2023-36884 с использованием специально созданных приманок для документов Microsoft Office, связанных со Всемирным конгрессом украинцев.
В связи с отсутствием исправления для CVE-2023-36884 компания призывает пользователей блокировать все приложения Office от создания дочерних процессов (правило ) для уменьшения поверхности атаки.
Microsoft также , используемые для подписи и установки вредоносных драйверов режима ядра на скомпрометированные системы. В ходе атак киберпреступники использовали лазейку в политике Windows, чтобы изменить дату подписания драйверов до 29 июля 2015 года с помощью open source инструментов «HookSignTool» и «FuckCertVerifyTimeValidity».
Полученные данные свидетельствуют о том, что использование мошеннических драйверов режима ядра набирает обороты среди злоумышленников, поскольку они работают с наивысшим уровнем привилегий в Windows, что позволяет сохранять постоянство в течение длительных периодов времени, одновременно мешая работе программного обеспечения безопасности, чтобы избежать обнаружения.
В настоящее время неясно, как используются другие недостатки и насколько широко распространяются атаки. Но в свете активных злоупотреблений рекомендуется, чтобы пользователи быстро применяли обновления для смягчения потенциальных угроз.
Исправления от других поставщиков
Помимо Microsoft, за последние несколько недель обновления безопасности были выпущены другими поставщиками для устранения нескольких уязвимостей, в том числе:
- AMD выпустила для Windows;
- Apple выпустила , чтобы исправить активно используемую уязвимость WebKit. Однако Apple вскоре после того, как обнаружение пользовательского агента некоторых служб было нарушено и заставило веб-сайты начать показывать ошибки в Safari на исправленных устройствах.
- Cisco для Cisco DUO, Webex, Secure Email Gateway, коммутаторов и других устройств.
- Google выпустила , чтобы исправить активно используемые уязвимости.
- Linux исправила опасную уязвимость , которая позволяет повысить привилегии. StackRot влияет на все конфигурации ядра в версиях Linux с 6.1 по 6.4.
- Microsoft выпустила июльские обновления в Windows 11.
- Компания MOVEit выпустила критической уязвимости SQL-инъекции и две другие менее серьезные уязвимости.
- SAP выпустила в рамках вторника исправлений за июль 2023 года.
- VMware выпустила обновления для устранения уязвимости обхода аутентификации.
Ситуация на кибербезопасном фронте остаётся напряжённой. В то время как ведущие технологические компании, такие как Microsoft, продолжают борьбу с уязвимостями в своих продуктах, злоумышленники не перестают искать новые методы атаки.
Ключевым советом для пользователей остаётся незамедлительное применение выпущенных обновлений безопасности, чтобы защитить свои системы от потенциальных угроз. Компании в свою очередь, должны продолжить активное взаимодействие и обмен информацией о новых угрозах и уязвимостях, чтобы предотвратить масштабные кибератаки в будущем.
