В октябрьский вторник исправлений Microsoft выпустила обновления с устранениями 104 уязвимостей, среди которых 3 активно эксплуатируемых нулевых дней (0Day-уязвимость). Среди всех устраненных ошибок 45 относились к категории удаленного выполнения кода (Remote Code Execution, RCE), однако только 12 из них были отмечены как “критические”, все они также относятся к RCE.
Распределение исправленных недостатков по категориям представлено ниже:
- Повышение привилегий: 26
- Обход систем безопасности: 3
- Удаленное выполнение кода: 45
- Раскрытие информации: 12
- Отказе в обслуживании (Denial of Service, DoS): 17
- Спуфинг: 1
Следует отметить, что общее количество угроз не включает одну уязвимость в Chromium, отслеживаемую как CVE-2023-5346 (CVSS: 8.8), которую Google исправил 3 октября и которая была перенесена в Microsoft Edge.
В этом месяце были исправлены 3 активно эксплуатируемых уязвимости нулевого дня, две из которых были обнародованы (CVE-2023-41763 и CVE-2023-36563). Microsoft классифицирует уязвимость как нулевой день, если она обнародована или активно эксплуатируется без официального исправления.
CVE-2023-41763 (CVSS: 5.3) – уязвимость повышения привилегий в Skype для бизнеса. Позволяет злоумышленнику просмотреть некоторую конфиденциальную информацию, хотя не все ресурсы в уязвимом компоненте могут быть раскрыты хакеру. При этом киберпреступник не может внести изменения в раскрываемую информацию (Integrity) или ограничить доступ к ресурсу (Availability).
Уязвимость позволяет атакующему проникнуть во внутренние сети, поскольку Skype обычно открыт для публичного интернета. Недостаток был обнародован.
CVE-2023-36563 (CVSS: 6.5) – уязвимость Microsoft WordPad, связанная с раскрытием информации, которая может быть использована для кражи хешей NTLM при открытии документа в WordPad. Чтобы эксплуатировать эту угрозу, атакующему сначала нужно войти в систему.
После входа киберпреступник может запустить специально созданное приложение, которое могло бы эксплуатировать уязвимость и захватить контроль над затронутой системой. Кроме того, хакер может убедить локального пользователя открыть вредоносный файл – с помощью электронного письма или сообщения. Хэши NTLM можно взломать или использовать в атаках NTLM Relay для получения доступа к учетной записи.
CVE-2023-44487 – Атака HTTP/2 Rapid Reset
Ошибка связана с новой техникой DDoS-атак под названием “HTTP/2 Rapid Reset”, которая активно используется с августа, побив все предыдущие рекорды.
Атака злоупотребляет функцией отмены потока HTTP/2, чтобы постоянно отправлять и отменять запросы, перегружая целевой сервер/приложение и вызывая состояние отказа в обслуживании (DoS). Поскольку функция встроена в стандарт HTTP/2, для этой техники не существует “исправления”, которое можно было бы реализовать, кроме ограничения скорости или блокировки протокола.
Microsoft предложила отключить протокол HTTP/2 на веб-сервере как меру по смягчению угрозы. Однако корпорация также предоставила специальную статью об атаке HTTP/2 Rapid Reset с дополнительной информацией.
Специалисты BleepingComputer указали полный список уязвимостей , которые были устранены во вторник обновлений Microsoft.