У вівторок 9 травня компанія Microsoft випустила 38 оновлень безпеки, з них шість мали критичний рівень небезпеки бо дозволяють зловмиснику віддалено запустити виконання коду. В цей перелік в тому числі увійшли дві критичні вразливості, які вже активно використовувались.

CVE-2023-29336 – вразливість в драйвері Win32k, який працює в режимі ядра. Ця вразливість дозволяє отримати системні привілеї на комп’ютерах з операційною системою Windows. Фахівці з інформаційної безпеки повідомляють, що експлуатація цієї вразливості дозволяє отримати системні привілеї на комп’ютерах та серверах з операційною системою Windows.

CVE-2023-24932 – вразливість дозволяє виконати самостійно підписаний код на рівні Unified Extensible Firmware Interface (UEFI) при ввімкненому режимі Secure Boot. Ця вразливість використовувалась зловмисниками в якості засобу обходу захисту та несанкціонованому запису даних, хоча для її використання потрібно мати фізичний доступ та локальні права адміністратора на атакованому пристрої.

CVE-2023-29325 – вразливість віддаленого виконання коду в Windows OLE із рейтингом за шкалою CVSS 8.1 бала. Зловмисникам для експлуатації вразливості, достатньо було підготувати особливий email та у разі відкриття його у вразливій версії Outlook з’являлася можливість віддаленого виконання шкідливого коду. Проблема актуальна для всіх продуктів з сімейства Office, але Outlook виглядає як найбільш вірогідний вектор для атаки. Відомості про цю вразливість були публічно розкриті ще до виходу виправлення але інформації щодо її застосування ще не було зареєстровано.

Буткіт BlackLotus протягом певного часу активно використовує вразливості CVE-2023-29336 та CVE-2023-24932 для інфікування комп’ютерів та серверів з ОС Windows. Цей буткіт потрапив до полю зору експертів з інформаційної безпеки в березні та з того часу почалося його активне вивчення задля нейтралізації.

BlackLotus – це UEFI-буткіт, який зловмисники активно продавали на хакерських форумах та заявляли можливість успішного обходу Secure Boot, який за задумом захищає від запуску на пристроях неавторизованого та шкідливого програмного забезпечення до старту операційної системи. Відповідно BlackLotus мав змогу завантажуватися раніше операційної системи з її засобами захисту. Відтак це шкідливе програмне забезпечення мало можливість вимикати захист антівіруса в системі та встановлювати власний драйвер рівня ядра, який виконував функцію бекдора, тобто міг отримувати та виконувати команди від сервера керування.

Варто звернути увагу на те, що патч для закриття вразливості CVE-2023-24932 на даний час не включено до переліку рекомендованих до автоматичного встановлення, тобто його потрібно завантажити та встановити адміністратору самостійно.