Вторник патчей, июль 2023: Microsoft исправила 132 проблемы безопасности, в том числе 6 уязвимостей нулевого дня

2023-07-11 6727 комментарии
Во «Вторник Патчей», 11 июля 2023 года, компания Microsoft выпустила исправления для 132 проблем безопасности, включая шесть уязвимостей нулевого дня и 37 уязвимостей удаленного исполнения кода.

Только девять исправленных уязвимостей удаленного выполнения кода получили наивысший рейтинг серьезности «Критический». Одна из известных уязвимостей удаленного выполнения кода не была исправлена, хотя применяется в реальных атаках.

Классификация уязвимостей по типу:

  • 33 уязвимости повышения привилегий
  • 13 уязвимостеи обхода функций безопасности
  • 37 уязвимостей удаленного выполнения кода
  • 19 уязвимостей раскрытия информации
  • 22 уязвимости отказа в обслуживании
  • 7 уязвимостей спуфинга

В июле Microsoft пока не исправила уязвимости в Microsoft Edge.

Для установки доступны следующие обновления:

Windows

Windows Server

Исправлено шесть активно эксплуатируемых уязвимостей

В рамках текущего выпуска «Вторника Патчей» было исправлено шесть уязвимостей нулевого дня. Все они использовались в реальных атаках, а одна из них была публично раскрыта.

Microsoft классифицирует уязвимость как уязвимость нулевого дня, если она публично раскрыта или активно эксплуатируется без официального исправления.

Шесть активно эксплуатируемых уязвимостей включают:

  • CVE-2023-32046 - Уязвимость повышения привилегий в Windows MSHTML Platform

Microsoft исправила активно эксплуатируемую уязвимость повышения привилегий в Windows MSHTML, которая эксплуатировалась путем открытия специально созданного файла через электронную почту или вредоносные веб-сайты.

В бюллетене безопасности сообщается:

Злоумышленник получает права пользователя, от имени которого выполняется затронутое приложение.

Уязвимость была обнаружена специалистами Microsoft Threat Intelligence Center.

  • CVE-2023-32049 - Уязвимость обхода функции безопасности Windows SmartScreen

Злоумышленники использовали данную уязвимость для предотвращения отображения предупреждения об открытии файлов из Интернета в окне «Открытие файла».

Уязвимость была обнаружена специалистами Microsoft Threat Intelligence Center.

  • CVE-2023-36874 - Уязвимость повышения привилегий в службе отчетов об ошибках Windows (Windows Error Reporting Service)

Активно эксплуатируемая уязвимость повышения привилегий позволяла злоумышленникам получить права администратора на устройстве Windows. Microsoft сообщала:

Атакующему необходим доступ к целевому компьютеру и возможность создавать папки и трассировки производительности на компьютере с ограниченными привилегиями, которыми обычные пользователи обладают по умолчанию.

Microsoft сообщает, что уязвимость была обнаружена Владом Столяровым и Мэдди Стоун (Maddie Stone) из Google Threat Analysis Group.

  • CVE-2023-36884 - Уязвимость удаленного выполнения кода в Microsoft Office и Windows HTML

Microsoft выпустила рекомендации по публичной раскрытой, но пока не исправленной уязвимости нулевого дня. Успешная эксплуатации способствует удаленному выполнению кода с помощью специально созданных документов Microsoft Office.

В бюллетени по CVE-2023-36884 поясняется:

Microsoft исследует сообщения о серии уязвимостей удаленного выполнения кода, затрагивающих продукты Windows и Office. Microsoft известно о целенаправленных атаках, которые пытаются использовать эти уязвимости с помощью специально созданных документов Microsoft Office.

Злоумышленник может создать специальный документ Microsoft Office, который позволяет ему выполнить удаленное выполнение кода в контексте жертвы. Однако злоумышленнику необходимо убедить жертву открыть вредоносный файл.

По завершению расследования Microsoft примет необходимые меры для защиты клиентов, включая предоставление обновления безопасности в рамках ежемесячного процесса выпуска или предоставление внепланового обновления безопасности в зависимости от потребностей клиентов.

В настоящее время для этой уязвимости нет доступных обновлений безопасности, однако Microsoft сообщает, что пользователи Microsoft Defender for Office и те, кто использует правило Attack Surface Reduction "Блокировать все приложения Office от создания дочерних процессов", защищены от вложений, пытающихся использовать эту уязвимость.

Для тех, кто не использует эти меры защиты, можно добавить следующие имена приложений в реестр по адресу:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION

в виде значений типа REG_DWORD со значением 1.

  • Excel.exe
  • Graph.exe
  • MSAccess.exe
  • MSPub.exe
  • PowerPoint.exe
  • Visio.exe
  • WinProj.exe
  • WinWord.exe
  • Wordpad.exe

Уязвимость обнаружена Microsoft Threat Intelligence, Владом Столяровым, Клементом Лесинь (Clement Lecigne) и Бахаре Сабури (Bahare Sabouri) из Google Threat Analysis Group , Полом Расканьером (Paul Rascagneres) и Томом Ланкастером (Tom Lancaster) из Volexity, а также Microsoft Office Product Group Security Team.

  • ADV230001 - Рекомендации по использованию вредоносных подписанных драйверов Microsoft

Microsoft отозвала сертификаты цифровой подписи и учетные записи разработчиков, которые злоупотребляли уязвимостью политики Windows для установки вредоносных драйверов в режиме ядра.

Компания Cisco Talos опубликовала два отчета, в которых рассказывается, как злоумышленники использовали эту уязвимость для подписывания вредоносных драйверов с целью перехвата трафика браузера, включая Chrome, Edge, Firefox и множество популярных в Китае браузеров.

Microsoft выпустила информационный бюллетень, в которой сообщила о приостановке всех связанных учетных записей разработчиков и отзыве сертификатов:

Microsoft получила информацию о злонамеренном использовании драйверов, сертифицированных программой Windows Hardware Developer Program. В этих атаках для использования драйверов злоумышленник уже должен был получить права администратора.

Мы провели расследование, в результате которого Trend Micro и Cisco предоставили дополнительные сведения. Расследование показало, что несколько учетных записей разработчиков в Microsoft Partner Center (MPC) занимались предоставлением вредоносных драйверов для получения подписи Microsoft.

Все учетные записи разработчиков, связанные с этим инцидентом, были немедленно приостановлены.

  • CVE-2023-35311 - Уязвимость обхода функции безопасности в Microsoft Outlook

Microsoft исправила активно эксплуатируемую уязвимость нулевого дня в Microsoft Outlook, которая позволяла обходить предупреждения безопасности в окне предварительного просмотра.

Microsoft сообщает:

Злоумышленник сможет обойти диалоговое окно предупреждения безопасности Microsoft Outlook.

Обновления от других компаний

  • Компания AMD выпустила WHQL-драйвер Adrenalin 23.7.1 для Windows.
  • Apple выпустила обновления Rapid Security Response (RSR), чтобы исправить активно используемую уязвимость в WebKit. Обновление было отозвано из-за проблемы сопоставления user-agent на сайтах.
  • Cisco выпустила обновления безопасности для Cisco DUO, Webex, Secure Email Gateway, коммутаторов Cisco Nexus серии 9000 Fabric и других устройств.
  • Google выпустила обновления безопасности для Android за июль 2023 года, чтобы исправить активно используемые уязвимости.
  • Уязвимость Linux, известная как StackRot, позволяет повысить привилегии.
  • Microsoft выпустила июльские обновления подсистемы Windows для Android (WSA).
  • Компания MOVEit выпустила обновления безопасности, которые устраняют критическую ошибку SQL-инъекций и еще две менее серьезные уязвимости.
  • SAP выпустила обновления безопасности за июль 2023 года.
  • VMware выпустила обновления VMware SD-WAN для устранения уязвимости обхода аутентификации.
© . По материалам Bleepingcomputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте