O
one_dark
Декабрьский набор плановых патчей для продуктов Microsoft оказался довольно скромным. Он устраняет всего 36 уязвимостей, в том числе семь критических и одну, уже найденную и используемую злоумышленниками.
Согласно бюллетеню разработчика, уязвимость нулевого дня CVE-2019-1458 привязана к системному компоненту Win32k и открывает возможность для повышения привилегий на Windows. Успешная эксплуатация позволит атакующему выполнить любой код в режиме ядра.
Чтобы применить эксплойт, автор атаки должен вначале получить доступ к системе, поэтому Microsoft оценила уязвимость как существенную — новая проблема Win32k получила 7,8 балла по шкале CVSS. Тем не менее, специалисты по ИБ рекомендуют пользователям установить соответствующий патч незамедлительно, поскольку злоумышленники уже обнаружили эту лазейку и начали ее использовать.
«Это одна из многих уязвимостей, закрытых Microsoft в 2019 году, которые на момент выпуска патча уже эксплуатировались, но не были признаны критическими, — пишет директор по управлению продукцией Ivanti Крис Гётль (Chris Goettl) в ответ на запрос Threatpost о комментарии. — Если вы, расставляя приоритеты при установке обновлений, руководствуетесь оценкой вендора или количеством баллов по CVSS, вам следует пересмотреть свой подход, иначе уже эксплуатируемые уязвимости — такие, как эта — останутся без должного внимания».
Новый эксплойт 0-day обнаружили в прошлом месяце эксперты «Лаборатории Касперского», разбирая атаки группировки WizardOpium. Примечательно, что этот Windows-эксплойт использовался в связке с другим эксплойтом нулевого дня — для Chrome; подобный тандем позволял атакующим выйти за пределы песочницы браузера и повысить привилегии в системе.
Одна из критических уязвимостей удаленного исполнения кода была выявлена в компоненте Win32k Graphics (CVE-2019-1468). Согласно бюллетеню, в ее появлении повинна библиотека шрифтов Windows, которая некорректно обрабатывает некоторые встроенные шрифты. Атаку в данном случае можно провести с помощью специально созданного документа, отосланного по почте, или сайта с вредоносным контентом, указанного ссылкой в письме или IM-сообщении.
Еще один RCE-баг объявился в гипервизоре Windows Hyper-V (CVE-2019-1471); его причиной является некорректная проверка данных, передаваемых авторизованным пользователем гостевой ОС. «Чтобы воспользоваться уязвимостью, автор атаки должен запустить в гостевой ОС специально созданное приложение, — пояснил эксперт Tenable Сатнам Наранг (Satnam Narang) в ответном письме журналистам Threatpost. — В результате он сможет добиться исполнения произвольного кода в хост-системе».
Пять критических уязвимостей в Git-клиенте, встроенном в Visual Studio 2017 и 2019, судя по описанию, схожи. Все они возникли из-за неадекватной санации входных данных и позволяют захватить контроль над системой, если автору атаки удастся заставить пользователя клонировать вредоносный репозиторий.
«Поскольку Visual Studio является одной из самых популярных сред разработки, используемых сейчас для проектирования и построения приложений, возможность эксплуатации подобной уязвимости выводит системотехников на передовую линию потенциальной атаки, — комментирует Ричард Мелик (Richard Melick), руководитель по программным продуктам компании Automox. — Если оставить ее непропатченной, группы проектирования и разработки могут стать точкой входа для развертывания вредоносного ПО, продвижения вширь по сети, создания вредоносных аккаунтов и кражи проприетарного прикладного кода».
Разбирая новые патчи Microsoft, представитель Automox также отметил еще один баг — CVE-2019-1469 в Win32k, степень угрозы которого оценена как существенная. «Успешная атака через эту уязвимость приводит к раскрытию конфиденциальной информации, которую злоумышленник сможет использовать для дальнейшей компрометации системы, — пояснил Мелик. — Чтобы применить эксплойт, он должен получить доступ к машине и загрузить специально созданное приложение».
Эксперт также напомнил, что это предпоследний выпуск патчей для Windows 7 и Windows Server 2008\2008 R2. Январские обновления для ОС этих версий станут прощальными, а затем Microsoft прекратит их поддержку.
Согласно бюллетеню разработчика, уязвимость нулевого дня CVE-2019-1458 привязана к системному компоненту Win32k и открывает возможность для повышения привилегий на Windows. Успешная эксплуатация позволит атакующему выполнить любой код в режиме ядра.
Чтобы применить эксплойт, автор атаки должен вначале получить доступ к системе, поэтому Microsoft оценила уязвимость как существенную — новая проблема Win32k получила 7,8 балла по шкале CVSS. Тем не менее, специалисты по ИБ рекомендуют пользователям установить соответствующий патч незамедлительно, поскольку злоумышленники уже обнаружили эту лазейку и начали ее использовать.
«Это одна из многих уязвимостей, закрытых Microsoft в 2019 году, которые на момент выпуска патча уже эксплуатировались, но не были признаны критическими, — пишет директор по управлению продукцией Ivanti Крис Гётль (Chris Goettl) в ответ на запрос Threatpost о комментарии. — Если вы, расставляя приоритеты при установке обновлений, руководствуетесь оценкой вендора или количеством баллов по CVSS, вам следует пересмотреть свой подход, иначе уже эксплуатируемые уязвимости — такие, как эта — останутся без должного внимания».
Новый эксплойт 0-day обнаружили в прошлом месяце эксперты «Лаборатории Касперского», разбирая атаки группировки WizardOpium. Примечательно, что этот Windows-эксплойт использовался в связке с другим эксплойтом нулевого дня — для Chrome; подобный тандем позволял атакующим выйти за пределы песочницы браузера и повысить привилегии в системе.
Одна из критических уязвимостей удаленного исполнения кода была выявлена в компоненте Win32k Graphics (CVE-2019-1468). Согласно бюллетеню, в ее появлении повинна библиотека шрифтов Windows, которая некорректно обрабатывает некоторые встроенные шрифты. Атаку в данном случае можно провести с помощью специально созданного документа, отосланного по почте, или сайта с вредоносным контентом, указанного ссылкой в письме или IM-сообщении.
Еще один RCE-баг объявился в гипервизоре Windows Hyper-V (CVE-2019-1471); его причиной является некорректная проверка данных, передаваемых авторизованным пользователем гостевой ОС. «Чтобы воспользоваться уязвимостью, автор атаки должен запустить в гостевой ОС специально созданное приложение, — пояснил эксперт Tenable Сатнам Наранг (Satnam Narang) в ответном письме журналистам Threatpost. — В результате он сможет добиться исполнения произвольного кода в хост-системе».
Пять критических уязвимостей в Git-клиенте, встроенном в Visual Studio 2017 и 2019, судя по описанию, схожи. Все они возникли из-за неадекватной санации входных данных и позволяют захватить контроль над системой, если автору атаки удастся заставить пользователя клонировать вредоносный репозиторий.
«Поскольку Visual Studio является одной из самых популярных сред разработки, используемых сейчас для проектирования и построения приложений, возможность эксплуатации подобной уязвимости выводит системотехников на передовую линию потенциальной атаки, — комментирует Ричард Мелик (Richard Melick), руководитель по программным продуктам компании Automox. — Если оставить ее непропатченной, группы проектирования и разработки могут стать точкой входа для развертывания вредоносного ПО, продвижения вширь по сети, создания вредоносных аккаунтов и кражи проприетарного прикладного кода».
Разбирая новые патчи Microsoft, представитель Automox также отметил еще один баг — CVE-2019-1469 в Win32k, степень угрозы которого оценена как существенная. «Успешная атака через эту уязвимость приводит к раскрытию конфиденциальной информации, которую злоумышленник сможет использовать для дальнейшей компрометации системы, — пояснил Мелик. — Чтобы применить эксплойт, он должен получить доступ к машине и загрузить специально созданное приложение».
Эксперт также напомнил, что это предпоследний выпуск патчей для Windows 7 и Windows Server 2008\2008 R2. Январские обновления для ОС этих версий станут прощальными, а затем Microsoft прекратит их поддержку.
