Июльский вторник исправлений Microsoft принес исправления более чем для 140 уязвимостей, включая четыре проблемы нулевого дня, две из которых уже активно использовались хакерами, а две других были публично раскрыты до выхода патчей. Также отметим, что в этом месяце разработчики Microsoft исправили сразу пять критических уязвимостей, причем все они связаны с удаленным выполнением кода. Что касается 0-day проблем, сообщается, что хакеры эксплуатировали две из них: CVE-2024-38080 (7,8 балла по шкале CVSS) — уязвимость повышения привилегий в Windows Hyper-V, которая позволяет злоумышленникам получить привилегии уровня SYSTEM. Хотя Microsoft заявляет, что уязвимость уже активно используется в атаках, компания не сообщает никаких дополнительных подробностей об этой проблеме и даже не пишет, кто ее обнаружил. CVE-2024-38112 (7,5 балла по шкале CVSS) — уязвимость типа platform spoofing в Windows MSHTML. «Успешная эксплуатация этой уязвимости требует от злоумышленника дополнительных действий для подготовки целевой среды перед использованием, — объясняет Microsoft. — Злоумышленник должен отправить жертве вредоносный файл, который жертва должна будет выполнить». В этом случае Microsoft так же не сообщила никаких дополнительных подробностей о том, как именно была использована уязвимость. Но известно, что проблему обнаружили специалисты компании Check Point. До выхода патчей были раскрыты подробности еще двух 0-day уязвимостей: CVE-2024-35264 — уязвимость удаленного выполнения кода в .NET и Visual Studio. «Злоумышленник может воспользоваться этой уязвимостью, перекрыв поток http/3 во время обработки тела запроса, что приведет к возникновению состояния гонки и может привести к удаленному выполнению кода», — поясняет Microsoft. Microsoft не сообщила, где была раскрыта информация об этой проблеме, но заявляет, что баг был обнаружен внутри компании, собственными специалистами Microsoft. CVE-2024-37985 (Arm — CVE-2024-37985) — исправление для описанной в 2023 году side-channel атаки FetchBench, которая может использоваться для кражи «секретных данных». «Злоумышленник, успешно воспользовавшийся этой уязвимостью, мог просмотреть память хипа привилегированного процесса, запущенного на сервере, — поясняет Microsoft. — Успешная эксплуатация уязвимости требует от злоумышленника дополнительных действий и для подготовки целевой среды перед использованием». Три из пяти упомянутых выше критических уязвимостей (CVE-2024-38074, CVE-2024-38076 и CVE-2024-38077) получили 9,8 балла по шкале CVSS и связаны со службой Windows Remote Desktop Licensing Service. В Microsoft отмечают, что их «эксплуатация маловероятна». Однако специалисты Zero Day Initiative предостерегают, что эксплуатация CVE-2024-38077 должна быть простой, поскольку любой неаутентифицированный пользователь может выполнить свой код, просто отправив вредоносное сообщение на уязвимый сервер. Потому эксперты рекомендуют убедиться, что серверы недоступны из интернета. «Если многие из этих серверов подключены к интернету, я бы ожидал их эксплуатации в ближайшее время, — предупреждает Дастин Чайлдс, специалист Zero Day Initiative. — Сейчас самое время провести аудит своих серверов, чтобы убедиться, что на них не запущены лишние службы». Две оставшиеся критические ошибки включают CVE-2024-38060 — RCE с рейтингом 8,8 балла по шкале CVSS в Windows Imaging Component, которая может использоваться любым аутентифицированным пользователем, загрузившим вредоносный файл TIFF на сервер. Также стоит отметить CVE-2024-38023 — проблему, набравшую 7,2 балла по шкале CVSS в Microsoft SharePoint Server, которая так же может привести к удаленному выполнению кода. «Аутентифицированный злоумышленник с правами владельца сайта может использовать уязвимость для внедрения произвольного кода и выполнения этого кода в контексте SharePoint Server», — пояснили в компании.