Вторник патчей, август 2024: Microsoft исправила 9 уязвимостей нулевого дня, 6 из которых использовались в реальных атаках

2024-08-14 4254 комментарии
В рамках «Вторника Патчей», 13 августа 2024 года, компания Microsoft выпустила исправления против 89 проблем безопасности, включая шесть активно эксплуатируемых и три публично раскрытых уязвимостей «нулевого дня»

Всего исправлено восемь критических проблем безопасности, среди которых уязвимости удаленного выполнения кода, повышения привилегий и раскрытия информации.

Классификация уязвимостей по типу:

  • 36 уязвимостей повышения привилегий
  • 4 уязвимости обхода функций безопасности
  • 28 уязвимостей удаленного выполнения кода
  • 8 уязвимостей раскрытия информации
  • 6 уязвимостей отказа в обслуживании
  • 7 уязвимостей спуфинга

Ранее в августе Microsoft выпустила исправления безопасности для Microsoft Edge.

Для установки доступны следующие обновления:

Windows

ОС Windows Сборка Версия Канал Обновление ISO-образы Доступно
Windows 10 19045.4780 22H2 Stable KB5041580 ISO (UUP) 2024-08-13
Windows 11 22631.4037 23H2 Stable KB5041585 ISO (UUP) 2024-08-13
Windows 11 26100.1457 24H2 Stable KB5041571 ISO (UUP) 2024-08-13

Windows Server

Раскрытые уязвимости «нулевого дня»

В этот «Вторник Патчей» исправлено шесть активно эксплуатируемых уязвимостей нулевого дня, а также и три публично раскрытые уязвимости. Одна из публично раскрытых уязвимостей нулевого дня пока остается неисправленной, но Microsoft работает над обновлением.

Microsoft классифицирует уязвимость как уязвимость нулевого дня, если она публично раскрыта или активно эксплуатируется без официального исправления.

Исправлены шесть активно эксплуатируемых уязвимостей нулевого дня:

  • CVE-2024-38178 — уязвимость повреждения памяти в скриптовом движке

Согласно Microsoft, для эксплуатации нужно, чтобы аутентифицированный клиент кликнул по ссылке, после чего неаутентифицированный атакующий сможет инициировать удаленное выполнение кода. Ссылка должна быть открыта в Microsoft Edge в режиме Internet Explorer, что делает эту уязвимость сложной для эксплуатации. Тем не менее, несмотря на эти условия, Национальный центр кибербезопасности Южной Кореи (NCSC) и AhnLab сообщили, что уязвимость уже используется в реальных атаках.

  • CVE-2024-38193 — уязвимость повышения привилегий в драйвере вспомогательных функций Windows для WinSock

Эта уязвимость позволяет злоумышленникам получать привилегии SYSTEM в системах Windows. Уязвимость была обнаружена сотрудниками Gen Digital, но Microsoft не предоставила деталей о том, как она была раскрыта.

  • CVE-2024-38213— уязвимость обхода функции безопасности Mark of the Web в Windows

Эта уязвимость позволяет атакующим создавать файлы, которые обходят предупреждения безопасности Windows Mark of the Web. Эта функция безопасности не раз подвергалась обходам, поскольку является привлекательной целью для злоумышленников, проводящих фишинговые кампании. Microsoft сообщает, что уязвимость была обнаружена исследователем из Zero Day Initiative компании Trend Micro, но не делится подробностями.

  • CVE-2024-38106 — уязвимость повышения привилегий в ядре Windows

Microsoft устранила уязвимость повышения привилегий в ядре Windows, которая предоставляет привилегии SYSTEM.

В бюллетени по безопасности сообщается:

Успешная эксплуатация этой уязвимости требует от атакующего выигрыша в состоянии гонки.

Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить привилегии SYSTEM.

Подробности обнаружения и эксплуатации не сообщаются.

  • CVE-2024-38107— уязвимость повышения привилегий в Windows Power Dependency Coordinator

Microsoft исправила уязвимость, которая предоставляет атакующим привилегии SYSTEM на устройстве Windows. Компания не поделилась информацией о том, кто сообщил об уязвимости и как она была использована.

  • CVE-2024-38189 - уязвимость удаленного выполнения кода в Microsoft Project

Microsoft устранила уязвимость удаленного выполнения кода в Microsoft Project, для эксплуатации которой требуется отключение функций безопасности.

В бюллетени по безопасности сообщается:

Для эксплуатации требуется, чтобы жертва открыла вредоносный файл Microsoft Office Project в системе, в которой политика «Блокировать макросы из файлов Office из Интернета» отключена, а уведомления о макросах VBA не включены, что позволяет атакующему выполнить удаленное выполнение кода.

Microsoft сообщает, что атакующие должны заставить пользователя открыть вредоносный файл, например, через фишинг или заманивания на сайты, размещающие файл. Компания не раскрыла, кто обнаружил уязвимость и как она используется в атаках.

Четыре публично раскрытых уязвимости включают:

  • CVE-2024-38199 — уязвимость удаленного выполнения кода в службе Windows Line Printer Daemon (LPD)

В бюллетени по безопасности сообщается:

Неаутентифицированный злоумышленник мог отправить специально сформированное задание на печать уязвимой общей службе Windows Line Printer Daemon (LPD) через сеть. Успешная эксплуатация могла привести к удаленному выполнению кода на сервере.

Уязвимость отмечена как публично раскрытая, но исследователь пожелал остаться анонимным.

  • CVE-2024-21302 — уязвимость повышения привилегий в режиме Secure Kernel Windows

Уязвимость была раскрыта исследователем безопасности из SafeBreach в рамках доклада об атаке на понижение версии Windows Downdate на конференции Black Hat 2024. Атака Downdate позволяет отменить обновление полностью обновленных систем Windows 10, Windows 11 и Windows Server, чтобы заново ввести старые уязвимости с помощью специально разработанных обновлений. Эта уязвимость позволяла атакующим получить повышенные привилегии для установки вредоносных обновлений.

  • CVE-2024-38200 — уязвимость спуфинга в Microsoft Office

Microsoft устранила уязвимость в Microsoft Office, которая раскрывает хэши NTLM. Злоумышленники могли воспользоваться этой уязвимостью, заставив кого-то открыть вредоносный файл, что привело бы к принудительному подключению Office к удаленному ресурсу, где злоумышленники могли бы украсть отправленные хэши NTLM. Уязвимость была исправлена 30 июля 2024 года с помощью функции Microsoft Office Feature Flighting.

  • CVE-2024-38202 — уязвимость повышения привилегий в стеке обновлений Windows

Эта уязвимость также была частью доклада об атаке на понижение версии Windows Downdate на конференции Black Hat 2024. Microsoft разрабатывает обновление безопасности для устранения этой угрозы, но оно пока недоступно.

Обновления от других компаний

  • Уязвимость «0.0.0.0 Day» позволяет вредоносным сайтам обходить функции безопасности браузера и получать доступ к сервисам в локальной сети.
  • Августовские обновления безопасности Android исправляют активно эксплуатируемую уязвимость удаленного выполнения кода (RCE).
  • Доступны обновления и патчи Huawei EMUI и HarmonyOS за август 2024 года
  • Компания CISA предупредила о злоупотреблении функцией Cisco Smart Install (SMI) в атаках.
  • Компания Cisco предупреждает о критических уязвимостях удаленного кода в снятых с поддержки IP-телефонах серии Small Business SPA 300 и SPA 500.
  • Новая уязвимость GhostWrite позволяет атакующим с низким уровнем прав читать и записывать данные в память компьютера на процессорах T-Head XuanTie C910 и C920 на базе архитектуры RISC-V и управлять периферийными устройствами.
  • Компания Ivanti выпустила обновление безопасности для критической уязвимости обхода аутентификации в vTM, для которой существует публичный эксплойт.
  • Microsoft предупредила о новой уязвимости в Office с идентификатором CVE-2024-38200, которая утечивает хэши NTLM.
  • Новая уязвимость SinkClose позволяет атакующим получить привилегии Ring -2 на процессорах AMD.
  • Новая уязвимость SLUBStick в Linux позволяет преобразовать ограниченную уязвимость кучи в возможность произвольного чтения и записи памяти.
  • Новая уязвимость Windows DownDate позволяет атакующим понижать версию системы, чтобы снова вводить уязвимости.
  • © . По материалам Bleepingcomputer
    Комментарии и отзывы

    Нашли ошибку?

    Новое на сайте