Компания Microsoft 8 октября выпустила очередные ежемесячные обновления безопасности для своих продуктов. В общей сложности было исправлено 59 уязвимостей в Windows и других продуктах, 9 из которых являются критическими, 49 – опасными и 1 – средней опасности.

Были исправлены две критические уязвимости в VBScript (CVE-2019-1238 и CVE-2019-1239), позволяющие удаленно выполнить код. Уязвимости вызваны особенностями VBScript при обработке объектов в памяти, и позволяют атакующему вызвать повреждение памяти и выполнить произвольный код в контексте текущего пользователя. Для эксплуатации уязвимостей злоумышленник должен хитростью заставить жертву открыть особым образом сконфигурированный сайт в Internet Explorer.

Проэксплуатировать обе уязвимости можно также с помощью приложения или документа Microsoft Office, встроив элемент управления ActiveX, отмеченный как "безопасный для инициализации" и использующий движок браузера Internet Explorer.

Была также исправлена очередная уязвимость в приложении Remote Desktop Client, позволяющую получить контроль над компьютерами путем подключения их к вредоносному RDP-серверу. В отличие от червеобразной уязвимости BlueKeep, исправленная уязвимость не является самораспространяющейся и для ее эксплуатации злоумышленник должен заставить жертву подключиться к вредоносному RDP-серверу либо с помощью социальной инженерии, либо осуществив атаку "человек-посередине" (man-in-the-middle).

Две уязвимости в протоколе сетевой аутентификации NTLM (CVE-2019-1166, CVE-2019-1338) позволяют с помощью специально сформированного запроса, откатить функции безопасности NTLM до более ранних версий и полностью скомпрометировать домен.

Windows NT (New Technology) LAN Manager (NTLM) является протоколом проверки подлинности запроса и ответа клиента/сервера и используется для аутентификации удаленных пользователей и обеспечения безопасности сеансов. Его преемником стал протокол сетевой аутентификации Kerberos, использующийся по умолчанию для всех версий Windows после Windows 2000. Хотя Kerberos используется практически везде, но на многих серверах и рабочих станциях по-прежнему включен NTLM.

Исследователи компании Preempt Ярон Зинар (Yaron Zinar) и Марина Симакова обнаружили , что вышеупомянутые уязвимости можно проэксплуатировать для релейной атаки, которая в некоторых случаях может привести к полной компрометации сети и всех пользователей Active Directory с заводскими настройками. Релейная атака – техника взлома, схожая с атакой "человек посередине" (man-in-the-middle) и атакой повторного воспроизведения. В классической атаке "человек посередине" атакующий перехватывает и манипулирует трафиком, передаваемым от одной стороны к другой. В классической релейной атаке передача трафика с обеих сторон инициируется самим атакующим, который затем просто повторно воспроизводит сообщения между двумя сторонами, не манипулируя и даже не читая их.

Уязвимость CVE-2019-1166 затрагивает все версии Windows и все серверы, для которых наличие цифровой подписи необязательно. Уязвимость CVE-2019-1338 затрагивает Windows 7 SP1, Windows 2008 и Windows 2008 R2.

Три критические уязвимости, позволяющие удаленно выполнить код, были также исправлены в скриптовом движке Chakra. Проблемы существуют из-за того, как Chakra обрабатывает объекты в памяти в Microsoft Edge, и приводят к повреждению памяти. Одна критическая уязвимость позволяет повысить привилегии и возникает, когда Azure App Service в Azure Stack не проверяет длину буфера прежде, чем скопировать в него память.