Microsoft патчит более 70 уязвимостей, включая четыре 0-day - «Новости»

Компания Microsoft опубликовала сентябрьские обновления для своих продуктов, которые устранили 79 уязвимостей, включая четыре проблемы нулевого дня и три бага активно эксплуатируемые злоумышленниками в реальных атаках.

Суммарно в этом месяце были исправлены семь критических проблем, которые позволяли добиться либо удаленного выполнения кода, либо повышения привилегий.

Также, как уже было сказано выше, пропатчены три активно эксплуатируемые злоумышленниками уязвимости нулевого дня:

• CVE-2024-38014 — повышение привилегий в Windows Installer. Эта уязвимость позволяет получить привилегии уровня SYSTEM в Windows-системах. Пока Microsoft не сообщила никаких подробностей о том, как именно этот баг использовался в атаках.


• CVE-2024-38217 — обход защиты Mark of the Web в Windows. Недостаток был публично раскрыт в прошлом месяце специалистами Elastic Security и считается, что он активно использовался хакерами как минимум с 2018 года.
  
  В своем отчете исследователи описывали технику атак LNK stomping, которая позволяет специально созданным LNK-файлам с нестандартными целевыми путями или внутренней структурой добиться открытия файлов в обход Smart App Control и предупреждений Mark of the Web. Эксплуатация проблемы приводит к выполнению команды в файле LNK без предупреждения, как показано ниже.

• CVE-2024-38226 — обход защиты Microsoft Publisher. Microsoft исправила недостаток в Microsoft Publisher, который позволял обойти защиту от встроенных макросов в загружаемых документах.
  
  

  «Злоумышленник, успешно воспользовавшийся этой уязвимостью, может обойти политики макросов Office, используемые для блокировки недоверенных или вредоносных файлов», - поясняется в сообщении Microsoft.Microsoft не сообщает, кто обнаружил эту проблему, и как она использовалась в атаках.

  
  

Кроме того, Microsoft устранила 0-day уязвимость CVE-2024-43491 (9,8 балла из 10 по шкале CVSS), допускающую удаленное выполнение произвольного кода. Этот баг тоже отмечен как эксплуатируемый в атаках, однако эта отметка означает лишь то, что уязвимость позволяет повторно применять в атаках старые проблемы.

Сообщается, что баг был связан с проблемой в служебном стеке (Servicing Stack), и повторно привнес ряд уязвимостей в уже исправленное ранее ПО.

То есть проблема затрагивает только Windows 10 версии 1507, срок поддержки которой истек еще в 2017 году. Однако она также затрагивает версии Windows 10 Enterprise 2015 LTSB и Windows 10 IoT Enterprise 2015 LTSB, которые по-прежнему поддерживаются.

Уязвимость интересна тем, что из-за нее необязательные компоненты, включая Active Directory Lightweight Directory Services, XPS Viewer, Internet Explorer 11, LPD Print Service, IIS и Windows Media Player, откатываются к своим исходным RTM-версиям. Это приводит к повторному возникновению всех предыдущих и уже исправленных в прошлом CVE, которые в итоге снова можно эксплуатировать.

Также это означает, что если пользователь установил, скажем, обновление от марта 2024 года, его ОС самостоятельно отменила ранее примененные исправления.

Фактически, Microsoft заявляет, что пользователям следует установить как свежее обновление Servicing Stack  (KB5043936), так и обновление безопасности (KB5043083), именно в таком порядке. Более подробную информацию можно найти здесь. Причем в компании предупредили, что эти манипуляции могут нарушить работу систем с двойной загрузкой, работающих под управлением Windows и Linux.

Таким образом, Microsoft пометила эту проблему как эксплуатируемую, поскольку та заново открывала уязвимости, которые использовались для атак в прошлом. При этом Microsoft утверждает, что нет никаких свидетельств того, что о баге знали преступники, и кто-то им действительно пользовался.