Более половины уязвимостей удаленного выполнения кода обнаружены в драйверах Microsoft SQL.
Также выпущены исправления для 26 уязвимостей обходов защиты Secure Boot, включая две уязвимости от Lenovo.
Классификация уязвимостей по типу:
- 31 уязвимость повышения привилегий
- 29 уязвимости обхода функций безопасности
- 67 уязвимостей удаленного выполнения кода
- 13 уязвимостей раскрытия информации
- 7 уязвимостей отказа в обслуживании
- 3 уязвимости спуфинга
В общее количество исправленных проблем не входят 5 уязвимостей Microsoft Edge, исправленных 4 апреля. Также исправлены две уязвимости в открытом дистрибутиве Linux Mariner, который используется для сервисов Microsoft Azure.
Для установки доступны следующие обновления:
Windows
- Обновление KB5036892 (Build 19045.4291) для Windows 10, версия 22H2
- Обновление KB5036893 (Build 22631.3447) для Windows 11, версия 23H2
- Обновление KB5036893 (Build 22621.3447) для Windows 11, версия 22H2
- Обновление KB5036894 (Build 22000.2836) для Windows 11, версия 21H2
- Обновление KB5036892 (Build 19044.4291) для Windows 10 LTSC 2021, версия 21H2
- Обновление KB5036896 (Build 17763.5696) для Windows 10 LTSC 2019, версия 1809
- Обновление KB5036899 (Build 14393.6897) для Windows 10 LTSC 2016, версия 1607
Windows Server
- Обновление KB5036910 (OS Build 25398.830) для Windows Server, версия 23H2
- Обновление KB5036909 (OS Build 20348.2402) для Windows Server 2022 (21H2 LTSC)
- Обновление KB5036896 (OS Build 17763.5696) для Windows Server 2019 (1809 LTSC)
- Обновление KB5036899 (OS Build 14393.6897) для Windows Server 2016 (1607 LTSC)
Устранены две уязвимости «нулевого дня»
В этом месяце в рамках ежемесячного обновления безопасности Microsoft были исправлены две уязвимости "нулевого дня", активно эксплуатируемые в атаках с использованием вредоносного ПО.
Изначально Microsoft не отметила эти уязвимости как активно эксплуатируемые, однако компании Sophos и Trend Micro поделились информацией о том, как они использовались в атаках.
Ниже приведено краткое описание уязвимостей с более подробной информацией, представленной в отдельной статье.
CVE-2024-26234 – Уязвимость подмены драйвера прокси-сервера
Sophos сообщила, что данной уязвимости присвоен идентификатор CVE, поскольку злонамеренный драйвер был подписан действительным сертификатом издателя аппаратного обеспечения Microsoft (Microsoft Hardware Publisher Certificate).
Драйвер использовался для развертывания бэкдора, ранее обнародованного компанией Stairwell.
Руководитель группы Кристофер Бадд рассказал BleepingComputer, что ранее сообщенные Microsoft драйверы не получали идентификатор CVE, вместо этого Microsoft публиковала советы по безопасности.
Пока неясно, почему идентификатор CVE был выдан сегодня для этого драйвера, если не из-за того, что он подписан действительным сертификатом издателя аппаратного обеспечения Microsoft.
CVE-2024-29988 – Уязвимость обхода защиты при взаимодействии с запросом SmartScreen
CVE-2024-29988 представляет собой обход исправления для уязвимости CVE-2024-21412 (которая, в свою очередь, является обходом исправления для CVE-2023-36025), позволяющий вложениям обходить запросы Microsoft Defender SmartScreen при открытии файла.
Этот метод использовалась хакерской группой Water Hydra с финансовой мотивацией для атак на форумы по торговле на Форекс и каналы торговли акциями в Telegram с использованием спирфишинга, в результате которых распространялся троян для удаленного доступа DarkMe (RAT).
Исследователи из Varonis раскрыли две уязвимости «нулевого дня» в Microsoft SharePoint, которые усложняют обнаружение скачивания файлов с серверов.
Техника №1: Метод открытия в приложении
Первая техника использует код, активирующий функцию «открыть в приложении» в SharePoint для доступа и скачивания файлов, оставляя в журнале аудита файла только событие доступа. Этот метод может быть выполнен вручную или автоматизирован через скрипт PowerShell, позволяя быстро экспортировать множество файлов.
Техника №2: User-Agent SkyDriveSync
Вторая техника использует User-Agent для Microsoft SkyDriveSync для скачивания файлов или даже целых сайтов, неправильно маркируя события как синхронизацию файлов вместо скачивания.
Microsoft не присвоила идентификаторы CVE этим двум проблемам безопасности, и они были добавлены в очередь на исправление без указания точных сроков.
Обновления от других компаний
- Компания Cisco выпустила обновления безопасности для нескольких продуктов.
- D-Link раскрыла новые уязвимости в неподдерживаемых устройствах NAS, и теперь подтверждено, что они активно эксплуатируются. Эти уязвимости не будут исправлены.
- Google исправила две уязвимости «нулевого дня» в Google Pixel и одну уязвимость «нулевого дня» в Google Chrome.
- Новые уязвимости типа CONTINUATION Flood могут вызвать атаки отказа в обслуживании (DoS) через HTTP/2.
- Компания Ivanti выпустила обновления безопасности для исправления трех уязвимостей VPN Gateway.
- Дистрибутивы Linux вернулись к более ранним версиям XZ Utils после обнаружения бэкдора в результате атаки на цепочку поставок.
- Были раскрыты новые уязвимости в LG WebOS, которые могут затронуть более 90 000 доступных Smart TV.
- Компания SAP выпустила свои обновления в рамках апрельского дня патчей 2024 года.
Последние статьи #Windows
• Microsoft PowerToys 0.87.1: исправление проблем стабильности в Windows 10, ошибок .NET 9 и Расширенной вставки
• Microsoft тестирует перевод в режиме реального времени на Copilot+ ПК с процессорами Intel и AMD
• Microsoft рассказала об эксклюзивных функциях Windows 11 для игр. Стоит ли обновляться с Windows 10?
• Microsoft блокирует обновление до Windows 11, версия 24H2 на ПК с включенной функцией Auto HDR из-за проблем с играми
• Microsoft подтвердила проблему с выводом звука в Windows 11, версия 24H2
• GitHub открыл бесплатный доступ к ИИ-инструменту Copilot в VS Code – с поддержкой GPT-4o и Claude 3.5