В июле в рамках "вторника обновлений" компания Microsoft выпустила обновление для закрытия 132 уязвимостей, из которых 121 обновление имело статус "Важное", а 9 обновлений являлись критическими.
Злоумышленники уже пытались использовать уязвимость CVE-2023-36884, применяя специальные документы-ловушки провели целенаправленные атаки на государственные и оборонные учреждения в Европе и США, воспользовавшись Всемирным конгрессом украинцев в качестве информационного повода для распространения писем.
Microsoft рекомендовал заблокировать создание дочерних процессов для программ Office (рекомендация Block all Office applications from creating child processes) для сокращения поверхности атак до установки исправления, которое закрывает уязвимость CVE-2023-36884.
Также Microsoft отозвала сертификаты для подписи кода, которые использовались злоумышленниками для распространения вредоносных драйверов ядра системы. Для атак с помощью политики Windows и приложений "HookSignTool" и "FuckCertVerifyTimeValidity" злоумышленники изменяли дату подписи драйверов на 29 июля 2015 года.
Исследования свидетельствуют о том, что практика использования драйверов ядра системы все чаще используется злоумышленниками в атаках, что дает им определенные преимущества - вредоносный код может работать с наивысшими привилегиями, также появляется возможность маскироваться и мешать работе антивирусного программного обеспечения.
Эксперты обнаружили подтверждение фактов эксплуатации следующих уязвимостей, при этом только часть из них получила исправления от Microsoft:
- CVE-2023-32046 – уязвимость повышения привилегий в MSHTML, которая эксплуатируется при открытии специально созданного файла, отправляемого жертве по электронной почте или обманом заставив пользователя открыть специально подготовленную страницу в Интернет (оценка CVSS: 7.8);
- CVE-2023-32049 – уязвимость обхода функции безопасности Windows SmartScreen, позволяющая запускать загруженные из Интернета файлы без отображения предупреждения "Открыть файл - предупреждение системы безопасности" (оценка CVSS: 8.8);
- CVE-2023-35311 – уязвимость обхода функции безопасности Microsoft Outlook, позволяющая обойти предупреждение безопасности в режиме предварительного просмотра (оценка CVSS: 8.8);
- CVE-2023-36874 – уязвимость повышения привилегий в службе отчетов об ошибках (Windows Error Reporting Service), которая позволяет злоумышленникам получить права администратора, для эксплуатации уязвимости необходимо иметь локальный доступ к машине, а у пользователя должна быть возможность создавать папки и отчеты трассировки производительности в условиях ограниченных привилегий, и эти права по умолчанию имеют обычные пользователи (оценка CVSS: 7.8);
- CVE-2023-36884 – уязвимость удаленного выполнения кода в Office и MSHTML, фактически является уязвимостью "нулевого дня", которая не была исправлена в рамках июльского обновления, она позволяет злоумышленнику удаленно выполнить код с помощью специально подготовленного документа Microsoft Office (оценка CVSS: 8.3).
В настоящее время неизвестно, как именно эксплуатируются и насколько широко распространены обнародованные уязвимости. Однако, учитывая активное злоупотребление ими, рекомендуется пользователям незамедлительно установить обновления для смягчения потенциальных угроз.
- 14.04.2024 Mirai разворачивает ботнет на уязвимых NAS D-Link
- 13.04.2024 Крупное обновление Microsoft закрывает две 0-day уязвимости
- 30.03.2024 World Backup Day - время проверить процесс резервного копирования по чек-листу
- 19.11.2023 Microsoft устранила серию критических уязвимостей под атаками
- 12.11.2023 Токены NTLM можно украсть при содействии Microsoft Access