Декабрьский "вторник обновлений" компании Microsoft принес исправления для 36 уязвимостей в Windows, Internet Explorer, SQL Server, Visual Studio, Hyper-V Server. Из них 7 были признаны критическими, включая уязвимость нулевого дня.

Исправленная уязвимость нулевого дня (CVE-2019-1458) была обнаружена экспертами при исследовании уязвимости нулевого дня в браузере Chrome (исправление было выпущено около месяца назад). Изучая проблему в Chrome, специалисты выдвинули предположение, что она используется в связке с какой-то другой уязвимостью, необходимой для эскалации привилегий и побега из песочницы. Глубокое изучение этой проблемы, как раз и помогло выявить уязвимость CVE-2019-1458.

Проблема возникает, когда компонент Win32k не может должным образом обработать объекты в памяти. Благодаря этому атакующий может повысить свои привилегии на системе и запустить произвольный код в режиме ядра, что позволит ему устанавливать программы, читать, изменять и удалять данные, а также создавать новые учетные записи пользователей со всеми правами.

Для эксплуатации уязвимости атакующему сначала нужно авторизоваться в системе. Затем с помощью особым образом сконфигурированного приложения он сможет проэксплуатировать уязвимость и получить полный контроль над атакуемой системой.

Исследователи выявили факты эксплуатации уязвимости CVE-2019-1458 злоумышленниками, но не смогли связать эти атаки с конкретной хакерской группой. В коде злоумышленников обнаружены элементы похожие на код группировки Lazarus, однако это вполне может быть отвлекающим маневром.

Среди других серьезных багов, исправленных Microsoft в этом месяце, стоит отметить CVE-2019-1468 - классическая атака с использованием шрифтов, позволяющая удаленно выполнить код в Win32k. Злоумышленник встраивает файл вредоносного шрифта в веб-страницу и атакует систему пользователя, посещающего ресурс. Также к разряду критических относится уязвимость CVE-2019-1471 в Windows Hyper-V, допускающая удаленное выполнение кода на хосте с гостевой виртуальной машины.