В липні в межах "вівторка оновлень" компанія Microsoft випустила оновлення для закриття 132 вразливостей, з них 121 оновлення – зі статусом "Важливе" та 9 критичних оновлень.
Зловмисники вже намагалися експлуатувати вразливість CVE-2023-36884, для цього спеціально створили документи-пастки та провели ряд цілеспрямованих атак на державні та обороні установи в Європі та США, використовуючи Всесвітній конгрес українців в якості інформаційного приводу для розповсюдження листів.
Microsoft порадила заблокувати створення дочірніх процесів для програм Office (рекомендація Block all Office applications from creating child processes) для зменшення поверхні атаки до встановлення виправлення, яке закриває вразливість CVE-2023-36884.
Також Microsoft відкликала сертифікати для підписання коду, які використовувалися зловмисниками для розповсюдження шкідливих драйверів рівня ядра системи. Для атак, за допомогою політики Windows та застосунків "HookSignTool" и "FuckCertVerifyTimeValidity" зловмисники змінювали дату підписання драйверів до 29 липня 2015 року.
Дослідження свідчать про те, що практика використання драйверів рівня ядра системи, все частіше використовується зловмисниками в атаках та це створює для них певні переваги – шкідливий код може в такому випадку працювати з найвищими привілеями та має можливість маскуватися та заважати роботі антивірусного програмного забезпечення.
Експерти виявили підтвердження фактів експлуатації наступних вразливостей, частина з яких отримали виправлення від Microsoft:
- CVE-2023-32046 – вразливість підвищення привілеїв в MSHTML, яка експлуатується при відкриті спеціально створеного файлу, який відправляють жертві електронною поштою або заманюючи її відкрити спеціально підготовлену сторінку в Інтернеті (оцінка CVSS: 7.8);
- CVE-2023-32049 – вразливість обходу функції безпеки Windows SmartScreen, яка дозволяє запуск завантажених з Інтернету файлів без відображення попередження "Відкрити файл – попередження системи безпеки" (оцінка CVSS: 8.8);
- CVE-2023-35311 – вразливість обходу функції безпеки Microsoft Outlook, яка дозволяє обійти попередження безпеки в режимі попереднього перегляді (оцінка CVSS: 8.8);
- CVE-2023-36874 – вразливість підвищення привілеїв в службі звітів про помилки (Windows Error Reporting Service), що дозволило зловмисникам отримати права адміністратора, для експлуатації вразливості потрібно мати локальний доступ до машини та у користувача повинна бути можливість створювати папки та звіти трасування продуктивності в умовах обмежених привілеїв, які за замовченням мають звичайні користувачі (оцінка CVSS: 7.8);
- CVE-2023-36884 – вразливість віддаленого виконання коду в Office та MSHTML, фактично вразливість 0-дня, яка не була виправлена в рамках липневого оновлення, що дозволяє зловмиснику віддалено виконати код завдяки спеціально підготовленого документу Microsoft Office (оцінка CVSS: 8.3).
Наразі невідомо, як само використовуються і наскільки широко поширені оприлюднені вразливості. Але з урахуванням активного зловживання ними користувачам рекомендується швидко встановити оновлення для пом'якшення потенційних загроз.
- 14.04.2024 Mirai розгортає ботнет на вразливих NAS D-Link
- 13.04.2024 Крупне оновлення Microsoft закриває дві 0-day вразливості
- 30.03.2024 World Backup Day – час перевірити процес резервування за чек-листом
- 19.11.2023 Microsoft виправила критичні вразливості, які вже було використано в реальних атаках
- 12.11.2023 NTLM-токени можливо вкрасти за допомогою Access