Вчера был второй вторник месяца, а значит, технологические компании выпустили исправления для своих продуктов. Так, в марте 2020 года инженеры Microsoft устранили 115 уязвимостей, отметив, что этот набор обновлений стал самым объемным в истории компании. Уязвимости были исправлены в составе Windows, Edge, Internet Explorer, Exchange Server, Office, Azure DevOps, Windows Defender, Visual Studio, Dynamics. Большинство проблем так или иначе затрагивают Windows (79 различных CVE) а также браузеры компании (18 разных CVE). Из 115 ошибок 26 получили статус критических, то есть они просты в эксплуатации и, скорее всего, их использование приводит к полной компрометации устройства. Тем не менее, ни одна из уязвимостей не использовалась для реальных атак, и данные о багах не были публично раскрыты до выхода патчей. Среди критических багов можно выделить CVE-2020-0852, уязвимость удаленного выполнения кода в Word. Специалисты Zero Day Initiative объясняют, что эксплуатация большинства подобных проблем в продуктах Office подразумевает, что пользователь должен открыть специально созданный файл. Однако в данном случае этого не потребуется: даже простой предварительный просмотр специально созданного файла может позволить выполнить код с правами текущего залогиненного пользователя. Еще одна проблема, которая имеет все шансы стать популярной среди хакеров, это CVE-2020-0684. Уязвимость связана с файлами ярлыков Windows LNK и позволяет малвари выполнять код в системе, когда вредоносный файл LNK обрабатывается Windows. Однако в этом месяце совсем не патчи для критических уязвимостей интересуют ИБ-специалистов. Всеобщее внимание приковано к пока неисправленной проблеме CVE-2020-0796, патч для которой не вошел в состав «вторника обновлений». Дело в том, что накануне выхода исправлений на сайтах компаний по Cisco Talos и Fortinet появились краткие сообщения с описанием уязвимости CVE-2020-0796, затрагивающей SMBv3 (без технических подробностей). И хотя после этого все ждали релиза патча, этого не произошло. Напомню, что именно протокол SMB помог распространению WannaCry и NotPetya по всему миру. Согласно Fortinet, уязвимость представляет собой переполнение буфера на серверах Microsoft SMB. Сообщается, что проблема проявляется, когда уязвимое ПО обрабатывает вредоносный пакет сжатых данных. Удаленный и неаутентифицированный злоумышленник может использовать это для выполнения произвольного кода в контексте приложения. Аналогичное описание проблемы было опубликовано, а затем удалено из блога Cisco Talos. Компания утверждала, что «эксплуатация уязвимости открывает системы для атак с потенциалом червя», то есть проблема может легко распространяться от жертвы к жертве. По данным компаний, перед багом уязвимы только Windows 10 v1903, Windows10 v1909, Windows Server v1903 и Windows Server v1909. К счастью, в отличие от случая с WannaCry и NotPetya, которые использовали доступный эксплоит EternalBlue, на этот раз в сеть просочилась только информация об ошибке, но не эксплоит для нее. И хотя данные о проблеме определенно были опубликованы случайно, и пача пока нет, ожидать атак на свежий баг все же пока не стоит. К настоящему момент разработчики Microsoft были вынуждены опубликовать короткий бюллетень безопасности, в котором рассказали, как защититься от новой уязвимости, пока не вышел патч. Пользователям рекомендуют отключить сжатие SMBv3, а также заблокировать TCP-порт 445.