В рамках регулярного “вторника исправлений” компания Microsoft опубликовала обновления безопасности , устраняющие 143 уязвимости, две из которых уже активно эксплуатируются злоумышленниками.
Среди выявленных уязвимостей 5 имеют критический статус, 136 – важный, и ещё 4 – умеренный. Эти исправления дополняются 33 уязвимостями, которые были устранены в браузере Edge на основе Chromium в течение последнего месяца.
Ниже приведены две активно эксплуатируемые уязвимости из списка:
- CVE-2024-38080(оценка CVSS: 7.8) – уязвимость повышения привилегий в Windows Hyper-V.
- CVE-2024-38112(оценка CVSS: 7.5) – уязвимость подмены платформы Windows MSHTML.
По словам Microsoft, для успешной эксплуатации CVE-2024-38112 злоумышленнику необходимо отправить жертве вредоносный файл, который она затем должна запустить самостоятельно. Исследователь безопасности из Check Point Хайфэй Ли сообщил, что злоумышленники используют специально созданные файлы Windows Internet Shortcut (.URL), которые перенаправляют жертв на вредоносные URL через устаревший браузер Internet Explorer. Это позволяет скрыть вредоносное расширение “.HTA”, что облегчает эксплуатацию уязвимости даже на современных операционных системах, включая Windows 10 и 11.
CVE-2024-38080, в свою очередь, представляет собой уязвимость повышения привилегий в Windows Hyper-V. По словам старшего инженера по исследованию безопасности Tenable Сатнама Наранг, локальный аутентифицированный злоумышленник может использовать эту уязвимость для повышения привилегий до уровня SYSTEM после первоначальной компрометации системы. Это первая уязвимость Hyper-V из 44 известных, которая эксплуатируется с 2022 года.
Также стоит выделить две другие уязвимости, которые уже были публично раскрыты:
- CVE-2024-37985(оценка CVSS: 5.9) – атака через побочный канал FetchBench, позволяющая злоумышленнику просматривать память кучи привилегированного процесса на системах на базе Arm.
- CVE-2024-35264(оценка CVSS: 8.1) – уязвимость удалённого выполнения кода, влияющая на .NET и Visual Studio. По данным Microsoft, злоумышленник может использовать эту уязвимость, закрыв http/3 поток во время обработки тела запроса, что приведёт к состоянию гонки и потенциальной удалённой эксплуатации.
Microsoft также устранила 37 уязвимостей удалённого выполнения кода в SQL Server Native Client OLE DB Provider, 20 уязвимостей обхода функций безопасности Secure Boot, три уязвимости повышения привилегий в PowerShell и одну уязвимость подмены в протоколе RADIUS (CVE-2024-3596, известную как BlastRADIUS ).
Грег Вайсман, ведущий менеджер продукта Rapid7, отметил, что уязвимости в SQL Server затрагивают не только серверы, но и клиентский код, использующий уязвимые версии драйвера соединения. Злоумышленники могут использовать социальную инженерию, чтобы заставить аутентифицированного пользователя подключиться к базе данных SQL Server, настроенной на возврат вредоносных данных, что приведёт к выполнению произвольного кода на клиентском устройстве.
Заключительной по важности является уязвимость CVE-2024-38021(оценка CVSS: 8.8), которая позволяет удалённо выполнять код в Microsoft Office. По данным компании Morphisec, данная уязвимость не требует аутентификации и представляет серьёзную угрозу из-за возможности эксплуатации без взаимодействия с пользователем. Атака позволяет злоумышленнику получить высокие привилегии, включая возможность чтения, записи и удаления данных.
Все эти исправления были выпущены вскоре после того, как Microsoft с целью повышения прозрачности и безопасности объявила о планах начать присваивать идентификаторы CVE для всех уязвимостей, связанных с облачными технологиями.