Вторник патчей, октябрь 2023: Microsoft исправила 104 проблемы безопасности, в том числе три уязвимости нулевого дня

Только 12 уязвимостей получили наивысший рейтинг опасности — «Критический». При этом сразу 45 исправленных дефектов безопасности связаны с удаленным выполнением кода.

Классификация уязвимостей по типу:

• 26 уязвимостей повышения привилегий
• 3 уязвимости обхода функций безопасности
• 45 уязвимостей удаленного выполнения кода
• 12 уязвимостей раскрытия информации
• 17 уязвимостей отказа в обслуживании
• 1 уязвимость спуфинга

В число исправленных ошибок не входит уязвимость Chromium с идентификатором CVE-2023-5346, которая была исправлена Google 3 октября и портирована в Microsoft Edge.

Для установки доступны следующие обновления:

Windows

• Обновление KB5031354 (Build 22631.2428) для Windows 11, версия 23H2
• Обновление KB5031354 (Build 22621.2428) для Windows 11, версия 22H2
• Обновление KB5031358 (Build 22000.2538) для Windows 11, версия 21H2
• Обновление KB5031356 (19045.3570) для Windows 10, версия 22H2

Windows Server

• Обновление KB5031364 (OS Build 20348.2031) для Windows Server 2022 (21H2 LTSC)
• Обновление KB5031361 (OS Build 17763.4974) для Windows Server 2019 (1809 LTSC)
• Обновление KB5031362 (OS Build 14393.6351) для Windows Server 2016 (1607 LTSC)
• Обновление безопасности KB5031407 / KB5031419 (Monthly Rollup) для Windows Server 2012 R2

Исправлено три активно эксплуатируемые уязвимости

В рамках текущего выпуска «Вторника Патчей» было исправлено три уязвимости нулевого дня. Все они использовались в реальных атаках, а две из них были публично раскрыты.

Microsoft классифицирует уязвимость как уязвимость нулевого дня, если она публично раскрыта или активно эксплуатируется без официального исправления.

Исправлены следующие уязвимости нулевого дня:

• CVE-2023-41763 — уязвимость повышения привилегий в Skype для бизнеса.

Microsoft устранила активно эксплуатируемую уязвимость в Skype для бизнеса, которая классифицируется как ошибка повышения привилегий.

В бюллетени по безопасности сообщается:

В случае успешной эксплуатации злоумышленник может просмотреть некоторую конфиденциальную информацию, но не все ресурсы внутри затронутого компонента могут быть разглашены злоумышленнику.

При этом злоумышленник не сможет внести изменения в раскрытую информацию или ограничить доступ к ресурсу.

Уязвимость обнаружена доктором Флорианом Хаузером. Он отметил, что уязвимость можно использовать для доступа к системам во внутренних сетях. По сути, она позволяет нарушить периметр Интернета, поскольку Skype обычно находится в публичном сегменте глобальной сети.

• CVE-2023-36563 - уязвимость раскрытия информации в Microsoft WordPad

Компания Microsoft исправила активно эксплуатируемую уязвимость, которая может быть использована для кражи NTLM-хэшей при открытии документа в WordPad.

В бюллетени по безопасности сообщается:

Для проведения атаки злоумышленнику необходимо сначала войти в систему, потом запустить специально созданное приложение, которое эксплуатирует уязвимость и получает контроль над пораженной системой.

Кроме того, злоумышленник может убедить локального пользователя открыть вредоносный файл. Он должен мотивировать пользователя перейти по ссылке, обычно с помощью заманчивого сообщения в электронной почте или мессенджере, а затем убедить его открыть специально созданный файл.

Эти NTLM-хэши могут быть взломаны или использованы в NTLM Relay-атаках для получения доступа к учетной записи.

Этот дефект был обнаружен внутренней группой Microsoft Threat Intelligence и, по-видимому, является ответвлением дефекта CVE-2023-36761, исправленного в прошлом месяце.

• CVE-2023-44487 - Атака HTTP/2 Rapid Reset

Компания Microsoft выпустила средства защиты от новой DDoS-атаки «нулевого дня» под названием «HTTP/2 Rapid Reset», которая активно эксплуатируется с августа, побив все предыдущие рекорды.

Эта атака использует функцию отмены потока HTTP/2 для непрерывной отправки и отмены запросов, перегружая целевой сервер или приложение и вызывая состояние отказа в обслуживании.

Поскольку данная функция встроена в стандарт HTTP/2, не существует какого-либо «исправления», которое можно было бы реализовать, кроме ограничения скорости или блокировки протокола.

В рекомендации Microsoft предлагает отключить протокол HTTP/2 на веб-сервере. Однако компания также предоставила отдельную статью о HTTP/2 Rapid Reset с дополнительной информацией.

Этот дефект был раскрыт сегодня в ходе скоординированного взаимодействия Cloudflare, Amazon и Google.

Microsoft утверждает, что CVE-2023-41763 и CVE-2023-36563 были раскрыты публично.

Обновления от других компаний

• Компания Apple исправила две уязвимости нулевого дня в iOS 17.0.3.
• Компания Arm раскрыла новые дефекты GPU Mali, используемые в атаках.
• Компания Cisco выпустила обновления безопасности для различных продуктов, в том числе для жестко закодированных учетных данных root в Emergency Responder.
• Компания Citrix выпустила исправления для дефекта Citrix NetScaler ADC и Gateway, раскрывающего конфиденциальную информацию.
• Опубликованы технические подробности уязвимости нулевого дня для D-Link DAP-X1860 WiFi 6.
• В Exim исправлены три из шести раскрытых уязвимостей нулевого дня.
• Google выпустила обновления безопасности Android за октябрь 2023, устраняющие активно эксплуатируемые уязвимости.
• GNOME подвержен дефекту удаленного выполнения кода, который может быть спровоцирован загрузкой файла cue.
• Новая атака нулевого дня HTTP/2 Rapid Reset бьет рекорды DDoS.
• Дистрибутивы Linux затронуты новой ошибкой «Looney Tunables», которая позволяет получить root на затронутых системах.
• Атака Marvin возрождает 25-летний дефект дешифрования в RSA.
• Microsoft выпустила экстренные обновления для Edge и Teams, устраняющее две уязвимости нулевого дня.
• Компания SAP выпустила обновления безопасности за октябрь 2023 года.
• Новые дефекты ShellTorch затрагивают инструмент для обслуживания ИИ-моделей с открытым исходным кодом TorchServe.