Основы Интернет - технологий.

Разработчики Microsoft выпустили патчи в рамках августовского «вторника обновлений». Компания устранила почти 90 уязвимостей в своих продуктах, включая шесть активно эксплуатируемых хакерами 0-day. Суммарно в этом месяце были исправлены восемь критических уязвимостей, связанных с повышением привилегий, удаленным выполнением кода и раскрытием информации. Также были устранены девять уязвимостей нулевого дня, шесть из которых уже использовали злоумышленники. При этом Microsoft сообщает, что еще работает над патчем для десятой 0-day, информация о которой ранее была раскрыта публично, однако уязвимость пока не устранена. Ниже перечислены шесть наиболее важных проблем этого месяца, которыми уже пользовались злоумышленники. CVE-2024-38178 (7,5 балла по шкале CVSS) — уязвимость, связанная с повреждением памяти скриптового движка (Windows Scripting Engine). Для реализации атаки аутентифицированный пользователь должен кликнуть по вредоносной ссылке, чтобы неаутентифицированный злоумышленник получил возможность удаленного выполнения кода. При этом ссылка должна быть нажата в Microsoft Edge в режиме Internet Explorer, то есть реальная эксплуатация этой проблемы довольно сложна. Но даже с учетом этих условий южнокорейский Национальный центр кибербезопасности (NCSC) и специалисты AhnLab предупредили о том, что уязвимость уже используется в атаках. CVE-2024-38193 (7,8 балла по шкале CVSS) — уязвимость, связанная с повышением привилегий и драйвером вспомогательных функций для WinSock в Windows (Ancillary Function Driver for WinSock). Этот баг позволяет получить привилегии уровня SYSTEM на машинах под управлением Windows. Известно, что проблему обнаружили эксперты компании Gen Digital. CVE-2024-38213 (6,5 балла по шкале CVSS) — уязвимость, связанная с обходом защитного механизма Windows Mark of the Web (MotW). Проблема позволяет злоумышленникам создавать файлы, которые обходят предупреждения MotW. Microsoft пишет, что баг был обнаружен специалистами Trend Micro Zero Day Initiative, однако не раскрывает деталей об атаках, в которых он используется. CVE-2024-38106 (7 баллов по шкале CVSS) — уязвимость повышения привилегий, связанная с ядром Windows, которая позволяет получить привилегии уровня SYSTEM. «Успешная эксплуатация этой проблемы требует от злоумышленника “выиграть” после провоцирования состояния гонки, — рассказывают в Microsoft. — Злоумышленник, успешно эксплуатирующий эту уязвимость, может получить привилегии SYSTEM». Microsoft не сообщает, кто обнаружил и раскрыл эту проблему, и как именно она использовалась. CVE-2024-38107 (7,8 балла по шкале CVSS) — уязвимость повышения привилегий в Power Dependency Coordinator. Этот недостаток тоже позволяет злоумышленникам получить привилегии уровня SYSTEM на устройствах под управлением Windows. В Microsoft не раскрывают никаких подробностей об атаках и обнаружении проблемы. CVE-2024-38189 (8,8 балла по шкале CVSS) — уязвимость удаленного выполнения кода в Microsoft Project. «Для эксплуатации этой проблемы потребуется открыть вредоносный файл Microsoft Office Project в системе с отключенной политикой, которая блокирует запуск макросов в файлах Office, полученных из интернета, а также с отключенными параметрами оповещения о макросах VBA, что позволит злоумышленнику осуществить удаленное выполнение кода», — поясняют в компании. По информации Microsoft, для осуществления атаки злоумышленникам придется обманом вынудить пользователя открыть вредоносный файл (например, с помощью фишинга или заманив жертву на вредоносный сайт). Помимо перечисленных выше проблем, информация еще о нескольких уязвимостях была публично раскрыта до выхода патчей, поэтому они тоже считаются проблемами нулевого дня. CVE-2024-38199 — уязвимость удаленного выполнения кода, связанная со службой Line Printer Daemon (LPD). «Неавторизованный злоумышленник может отправить специально подготовленное задание печати в общую уязвимую службу Windows Line Printer Daemon по сети. Успешная эксплуатация может привести к удаленному выполнению кода на сервере», — говорится в сообщении Microsoft. Эта уязвимость внесена в список публично раскрытых, однако человек, сообщивший о ней, пожелал сохранить анонимность. CVE-2024-21302 — уязвимость повышения привилегий, связанна с с Windows Secure Kernel Mode. Этот недостаток был раскрыт специалистами компании SafeBreach на конференции Black Hat. Мы уже рассказывали об этой даунгрейд-атаке Windows Downdate подробно. Напомним, что она затрагивает полностью обновленные Windows 10, Windows 11 и Windows Server и позволяет вновь использовать против них старые уязвимости. CVE-2024-38200 — связанная со спуфингом проблема в Microsoft Office. Об этой уязвимости мы тоже уже писали ранее. Она связана с раскрытием NTLM-хешей, и о проблеме рассказали на прошедшей недавно конференции DEF CON. Злоумышленники могут обманом вынудить жертву открыть вредоносный файл, который затем заставит Office установить соединение с удаленным ресурсом, где злоумышленники смогут похитить переданные NTLM-хеши. Ранее проблема уже получила временный фикс, выпущенный в рамках Feature Flighting 7/30/2024. CVE-2024-38202 — уязвимость повышения привилегий в стеке обновлений Windows Эта проблема тоже была частью вышеупомянутой атаки Windows Downdate. Однако в этом случае патча еще нет: Microsoft работает над созданием исправления, но дата его выхода пока неизвестна.