Microsoft закрывает 26 уязвимостей в Windows и Office

Рекомендуем почитать: Microsoft закрывает 26 уязвимостей в Windows и Office

  • Содержание выпуска
  • Подписка на «Хакер»

Новая 0-day уязвимость Windows Search может использоваться для автоматического открытия окна поиска и запуска удаленной малвари, что легко проделать через простое открытие документа Word.

Поисковая проблема

Издание Bleeping Computer рассказывает, что обнаруженная проблема весьма серьезна, так как Windows поддерживает URI хэндлер протокола search-ms, который позволяет приложениям и HTML-ссылкам запускать кастомизированный поиск на устройстве. И хотя большинство поисковых запросов будут выполнять поиск на локальном устройстве, также можно вынудить Windows Search запросить общие файловые ресурсы на удаленных хостах и ​​использовать кастомный заголовок для окна поиска.

К примеру, Sysinternals позволяет удаленно монтировать live.sysinternals.com в качестве общего сетевого ресурса для запуска своих утилит. Чтобы найти этот удаленный общий ресурс и вывести только файлы, соответствующие определенному имени, можно использовать следующий URI search-ms: search-ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals

В данном случае переменная crumb search-ms указывает место для поиска, а переменная displayname задает заголовок. При выполнении этой команды из диалогового окна «Выполнить» или адресной строки браузера в Windows 7, Windows 10 и Windows 11 появится кастомное окно поиска, как на скриншоте ниже. В заголовке будет указано «Searching Sysinternals», как было задано в URI search-ms.

Microsoft закрывает 26 уязвимостей в Windows и Office

Злоумышленники могут использовать тот же подход для атак, когда фишинговые письма маскируются под обновления или патчи, которые якобы нужно срочно установить. Атакующие могут настроить удаленную общую папку Windows, которая будет использоваться для размещения малвари, замаскированной под обновления безопасности, а затем использоваться URI search-ms в своих атаках.

  • Казалось бы, будет непросто заставить пользователя кликнуть на такой URL, особенно учитывая предупреждение, которое отобразиться к этом случае.
  • Microsoft закрывает 26 уязвимостей в Windows и Office
  • Однако соучредитель Hacker House и ИБ-исследователь Мэтью Хикки нашел способ объединить недавно обнаруженную в Microsoft Office уязвимость с хэндлером search-ms, чтобы открыть окно удаленного поиска, попросту открыв документ Word.

Напомню, что об обнаружении 0-day Follina стало известно на прошлой неделе, хотя впервые исследователи нашли этот баг еще в апреле 2022 года, но тогда в Microsoft отказались признать проблему.

Теперь уязвимость отслеживается под идентификатором CVE-2022-30190, и известно, что ее можно эксплуатировать через обычное открытие документа Word или предварительный просмотр в «Проводнике», применяя для выполнения вредоносных команд PowerShell через Microsoft Diagnostic Tool (MSDT).

Баг затрагивает все версии Windows, которые получают обновления безопасности, то есть Windows 7 и новее, а также Server 2008 и новее.

Известно, что CVE-2022-30190 позволяет модифицировать документы Microsoft Office для обхода Protected View и запускать хэндлеры URI без взаимодействия с пользователем, что может вести к дальнейшему злоупотреблению обработчиками. Вчера Хикки обнаружил, что возможно изменить существующие эксплоиты для Microsoft Word MSDT, чтобы вместо этого злоупотребить search-ms.

Новый PoC автоматически запускает команду search-ms, когда пользователь открывает документ Word. Эксплоит открывает окно Windows Search, в котором перечислены исполняемые файлы на удаленном SMB-ресурсе. Эта общая папка может быть названа так, как пожелает хакер, например «Критические обновления», и будет предлагать пользователям установить малварь под видом патча.

Как и в случае с экплоитами для MSDT, Хикки продемонстрировал, что можно создать RTF, который автоматически откроет окно Windows Search еще во время предварительного просмотра в «Проводнике».

Хотя в целом этот эксплоит не так опасен, как RCE-уязвимость MS-MSDT, он тоже может пригодиться злоумышленникам, которые смогут применять его в изощренных фишинговых кампаниях.

Комплексная проблема

Интересно, что проблемы злоупотребления MSDT и search-ms не новы: еще в 2020 году их описывал Бенджамин Альпитер. Но лишь недавно они стали использоваться в документах Word для фишинговых атак и превратились в уязвимости нулевого дня.

Судя по бюллетеню безопасности, который Microsoft посвятила CVE-2022-30190, компания намерена устранять баги в обработчиках протоколов и связанных с ними функциях Windows, но не бороться с самим фактом, что хакеры могут злоупотреблять Microsoft Office для запуска URI без взаимодействия с пользователем.

Аналитик CERT/CC и известный ИБ-специалист Уилл Дорманн считает, что такие эксплоиты на самом деле используют две разные проблемы. По его мнению, без устранения проблемы URI Microsoft Office, обработчиками протоколов будут злоупотреблять и далее.

Мэтью Хикки так же полагает, что проблема заключается даже не в обработчиках протоколов, а скорее представляет собой комбинацию багов, ведущую к «уязвимости спуфинга локального пути Microsoft Office OLEObject search-ms».

«Следующее, что лучше сделать — исправить сообщения о заголовке и местоположении поиска, чтобы предотвратить подобные спуфинговые атаки, или отключить это в URI хэдлере», — говорит Хикки.

Журналисты Bleeping Computer отмечают, что происходящее напоминает ситуацию с RCE-уязвимостью PrintNightmare, обнаруженной и исправленной в Print Spooler в 2021 году.

Тогда компания Microsoft быстро устранила оригинальный баг, однако его обнаружение потянуло за собой множество других локальных уязвимостей повышения привилегий, связанных с исходной проблемой (1, 2, 3).

Тогда разработчики Microsoft были вынуждены внести радикальные изменения в Windows Printing, чтобы наконец избавиться от этого класса уязвимостей в целом.

Теперь, вероятно, Microsoft придется сделать невозможным запуск обработчиков URI в Microsoft Office без взаимодействия с пользователем. А пока этого не произойдет, будут регулярно поваляться сообщения о создании новых эксплоитов.

Microsoft закрыла около 100 уязвимостей, 9 из них критические

Компания Microsoft начала год с ударной работы над уязвимостями.

Она выпустила не только первый в 2022 году вторничный пакет обновлений, закрывающий в общей сложности 96 уязвимостей, но и пачку исправлений для браузера Microsoft Edge (в основном связанных с движком Chromium).

Так что всего с начала года компания закрыла более 120 уязвимостей в целом списке своих продуктов. Это явный повод как можно скорее обновить операционную систему и некоторые приложения Microsoft.

Наиболее критические уязвимости

Девять из закрытых уязвимостей имеют критический статус по шкале CVSS 3.1. Из них две связаны с возможностью повышения доступа к ресурсам системы (уязвимости эскалации привилегий): CVE-2022-21833 в Virtual Machine IDE Drive и CVE-2022-21857 в Active Directory Domain Services. Эксплуатация остальных семи может дать атакующему возможность удаленного выполнения кода:

Из всего этого богатства самой неприятной уязвимостью, по всей видимости, является последняя.

Баг в стеке протоколов HTTP теоретически позволяет злоумышленникам не просто заставить машину исполнить произвольный код, но и распространить атаку по локальной сети (по терминологии Microsoft, уязвимость относится к категории wormable, то есть может быть использована для создания червя).

Данная уязвимость актуальна для операционных систем Windows 10, Windows 11, Windows Server 2022 и Windows Server 2019. Правда, по словам Microsoft, в Windows Server 2019 и Windows 10 версии 1809 она становится опасной только если пользователь включает HTTP Trailer Support при помощи ключа EnableTrailerSupport в реестре.

Также эксперты выражают беспокойство из-за наличия очередной уязвимости в Microsoft Exchange Server (к слову, она в общем списке закрытых багов не единственная, CVE-2022-21846 просто самая опасная из найденных). И экспертов можно понять — никто не хочет повторения прошлогодних событий с массовой эксплуатацией уязвимостей в Exchange.

Уязвимости с опубликованными доказательствами осуществления атак

Некоторые из закрытых уязвимостей уже были известны общественности, а к некоторым уже успели соорудить доказательства осуществления атак:

  • CVE-2022-21836 — уязвимость, позволяющая подменить сертификаты Windows;
  • CVE-2022-21839 — уязвимость, позволяющая организовать DoS-атаку на Event Tracing Discretionary Access Control List;
  • CVE-2022-21919 — уязвимость эскалации привилегий в пользовательских профилях Windows.
Читайте также:  Какой сыр лучше выбрать для пиццы, чтобы тянулся и когда его лучше класть

Реальных атак с применением этих уязвимостей пока не наблюдалось, однако поскольку доказательства их осуществления опубликованы, они могут начаться в любой момент.

Как оставаться в безопасности

Во-первых, нужно незамедлительно обновить систему (да и прочие программы от Microsoft), да и в целом стараться не затягивать с установкой заплаток для критически важного ПО.

Во-вторых, любой компьютер или сервер, имеющий выход в Интернет, должен быть снабжен защитным решением, способным не только предотвращать эксплуатацию известных уязвимостей, но и выявлять атаки с применением неизвестных эксплойтов.

Microsoft закрывает 26 уязвимостей в Windows и Office

Разбираемся с cookies и рассказываем, как их настройки влияют на вашу конфиденциальность в Сети.

Microsoft закрывает 26 уязвимостей в Windows и Office

Рассказываем, как злоумышленники выманивают реквизиты банковских карт от имени службы доставки DHL.

Рассказываем про настройки безопасности в самой большой российской соцсети — VK.

Рассказываем, как настроить профиль в Vivino максимально безопасно.

Зловреды заражают роутеры, замедляют Интернет и крадут данные. Рассказываем, как защитить свой Wi-Fi.

В этом месяце microsoft закрывает более 80 уязвимостей в windows, office, edge и не только

Состоялся релиз очередного вторничного патча

анонсы и реклама

Прошёл второй вторник месяца, а значит на вашем компьютере на Windows доступны для установки очередные обновления от Microsoft. На этот раз они закрывают 87 уязвимостей от важных до критических. В частности, закрыта известная уязвимость PrintNightmare и уязвимости нулевого дня в приложениях пакета Office, которые уже используются на практике.

Microsoft закрывает 26 уязвимостей в Windows и Office

Весят обновления не особо много, но это не делает их менее важными. Несколько уязвимостей закрыты в браузере Edge на Chromium. Среди других обновлённых продуктов можно назвать Windows, Windows DNS, подсистему Windows для Linux, Visual Studio, Office, SharePoint Server, Edge и Azure.

Закрывается уязвимость нулевого дня в Office под номером CVE-2021-40444, которой хакеры уже нашли применение. Применяются вредоносные файлы, при открытии которых пользователи попадают на веб-страницу в Internet Explorer и на компьютер автоматически загружаются вредоносные программы.

Это происходит благодаря ошибке в компоненте MSHTML Microsoft Office. Он необходим для отображения страниц браузера в содержимом файлов Word. Затронуты операционные системы Windows 7, Windows 10 и Windows Server версий 2008 и более поздние.

Три уязвимости влияют на драйвер файловой системы общего журнала Windows — CVE-2021-36955, CVE-2021-36963 и CVE-2021-38633. Они позволяют повышать привилегии в системе и вносить в неё изменения. Затронуты все версии Windows. Пока нет доказательств, что эти уязвимости применялись на практике.

Microsoft закрывает 26 уязвимостей в Windows и Office

Закрыты четыре уязвимости с повышением привилегий в службе диспетчера очереди печати в Windows 10. Это CVE-2021-38667, CVE-2021-36958, CVE-2021-38671 и CVE-2021-40447.

Пользователи Windows 7, Windows Server 2008 и Windows Server 2008 R2 должны поставить обновление CVE-2021-36968. Уязвимость повышает привилегии через Windows DNS и не требует взаимодействия с пользователем.

Защитите Windows от уязвимости Microsoft Support Diagnostic Tool — zanz

Microsoft опубликовала руководство по недавно обнаруженной уязвимости в MSDT (средство диагностики поддержки Microsoft).

Эта уязвимость безопасности была недавно обнаружена исследователями и идентифицирована как уязвимость удаленного выполнения кода нулевого дня, и теперь Microsoft отслеживает ее как CVE-2022-30190.

Сообщается, что этот недостаток безопасности может повлиять на все версии ПК с Windows, на которых включен протокол MSDT URI.

Согласно сообщению в блоге, представленному MSRC, ваш компьютер становится уязвимым для этой атаки, когда средство диагностики поддержки Microsoft вызывается с использованием протокола URL из вызывающих приложений, таких как MS Word. Злоумышленники могут использовать эту уязвимость с помощью созданных URL-адресов, использующих протокол URL-адресов MSDT.

«Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с привилегиями вызывающего приложения. Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи в контексте, разрешенном правами пользователя», — говорится в сообщении. Майкрософт.

Что ж, хорошо, что Microsoft выпустила несколько обходных путей для этой уязвимости.

Защитите Windows от уязвимости Microsoft Support Diagnostic Tool

Отключить протокол URL-адресов MSDT

Поскольку злоумышленники могут использовать эту уязвимость через протокол URL-адресов MSDT, ее можно устранить, отключив протокол URL-адресов MSDT. Это не приведет к запуску средств устранения неполадок в виде ссылок. Однако вы по-прежнему можете получить доступ к средствам устранения неполадок, используя функцию «Получить справку» в вашей системе.

Чтобы отключить протокол URL-адресов MSDT:

  • Введите CMD в поле поиска Windows и нажмите «Запуск от имени администратора».
  • Сначала выполните команду reg export HKEY_CLASSES_ROOTms-msdt regbackupmsdt.reg для резервного копирования ключа реестра.
  • Затем выполните команду reg delete HKEY_CLASSES_ROOTms-msdt /f.

Если вы хотите отменить это, снова запустите командную строку от имени администратора и выполните команду reg import regbackupmsdt.reg. Не забудьте использовать то же имя файла, которое вы использовали в предыдущей команде.

Включите обнаружение и защиту Microsoft Defender

Следующее, что вы можете сделать, чтобы избежать этой уязвимости, — это включить облачную защиту и автоматическую отправку образцов. Делая это, ваша машина может быстро идентифицировать и останавливать возможные угрозы с помощью искусственного интеллекта.

Если вы являетесь клиентом Microsoft Defender для конечной точки, вы можете просто запретить приложениям Office создавать дочерние процессы, включив правило сокращения направлений атаки «BlockOfficeCreateProcessRule».

Согласно Microsoft, сборка Microsoft Defender Antivirus 1.367.851.0 и более поздних версий обеспечивает обнаружение и защиту от возможного использования уязвимостей, таких как:

  • Trojan:Win32/Mesdetty.A (блокирует командную строку msdt)
  • Trojan:Win32/Mesdetty.B (блокирует командную строку msdt)
  • Поведение: Win32/MesdettyLaunch.A!blk (завершает процесс, запустивший командную строку msdt)
  • Trojan:Win32/MesdettyScript.A (для обнаружения удаленных файлов HTML, содержащих подозрительную команду msdt)
  • Trojan:Win32/MesdettyScript.B (для обнаружения удаленных файлов HTML, содержащих подозрительную команду msdt)

Хотя обходные пути, предложенные Microsoft, могут остановить атаки, это все же не надежное решение, поскольку другие мастера устранения неполадок по-прежнему доступны. Чтобы избежать этой угрозы, мы фактически должны отключить и другие мастера устранения неполадок.

Отключить мастера устранения неполадок с помощью редактора групповой политики

Microsoft закрывает 26 уязвимостей в Windows и Office

Бенджамин Дельфи написал в Твиттере лучшее решение, в котором мы можем отключить другие средства устранения неполадок на нашем ПК с помощью редактора групповой политики.

  • Нажмите Win + R, чтобы открыть диалоговое окно «Выполнить», и введите gpedit.msc чтобы открыть редактор групповой политики.
  • Перейдите в «Конфигурация компьютера» > «Административные шаблоны» > «Система» > «Устранение неполадок и диагностика» > «Диагностика по сценарию».
  • Дважды щелкните Устранение неполадок: разрешить пользователям доступ и запуск мастеров устранения неполадок.
  • Во всплывающем окне установите флажок «Отключено» и нажмите «ОК».

Отключить мастера устранения неполадок с помощью редактора реестра

Microsoft закрывает 26 уязвимостей в Windows и Office

Если на вашем ПК нет редактора групповой политики, вы можете использовать редактор реестра, чтобы отключить мастера устранения неполадок. Нажмите Win+R, чтобы

  • Запустите диалоговое окно и введите Regedit, чтобы открыть редактор реестра.
  • Перейдите в папку КомпьютерHKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsScriptedDiagnostics.
  • Если вы не видите ключ Scripted Diagnostic в редакторе реестра, щелкните правой кнопкой мыши ключ Safer и выберите «Создать»> «Ключ».
  • Назовите его ScriptedDiagnostics.
  • Щелкните правой кнопкой мыши Диагностика по сценарию и на правой панели щелкните правой кнопкой мыши пустое место, выберите «Создать» > «Значение Dword (32-разрядное)» и назовите его EnableDiagnostics. Убедитесь, что его значение равно 0.
  • Закройте редактор реестра и перезагрузите компьютер.

Надеюсь это поможет.

Microsoft закрыла несколько критических уязвимостей в Windows и Office

Microsoft закрывает 26 уязвимостей в Windows и Office

Вчера Microsoft выпустила накопительные обновления для своей операционной системы Windows 10. Апдейт принес не только багфиксы и улучшения производительности, но и критически важные патчи безопасности. Microsoft выпустила пять патчей уязвимостей, некоторые из них использовались злоумышленниками.

Читайте также:  Вытяжки с угольным фильтром без отвода: самые популярные модели + отзывы

MS16-118 исправляет дыры безопасности в различных версиях Internet Explorer. Они позволяли удаленно исполнять вредоносный код при условии просмотра зараженного веб-сайта. Обновление также служит своего рода заплаткой, которая прикрывает доступ к возможности проверить наличие конкретных файлов на компьютере жертвы.

MS16-119 исправляет подобные проблемы в Edge, где уязвимости позволяли запускать вредоносный код и получать другие привилегии над компьютером.

Апдейт улучшает браузер на различных уровнях, изменяя поведение обозревателя и Javascript-движка с различными объектами в памяти, ограничивая информацию, которую Edge может запрашивать, а также изменяет процедуры хранения пользовательских данных.

MS16-120 распространяется на графический компонент Microsoft, что актуально для Windows, Office 2007, Office 2010, Skype for Business 2016, Silverlight, Lync 2013 и Lync 2010. Атаки с использованием уязвимостей использовались путем открытия специально созданных файлов или веб-сайтов.

MS16-122 лечит компонент Microsoft Video Control, а MS16-127 относится к уязвимостям Flash во всех поддерживаемых версиях Internet Explorer и Microsoft Edge. Этот патч исправил около 12 дыр, о которых было известно.

Все описанное выше является ответом на вопрос зачем устанавливать накопительные обновления. Держите свою систему в актуальном состоянии, регулярно устанавливая доступные обновления и улучшения защиты.

+2

 Loading …

«Офисные» крысы: хакеры атакуют россиян через новую уязвимость Microsoft Office

Злоумышленники пытаются атаковать российские компании через новую уязвимость в продуктах Microsoft Office. Об этом «Известиям» сообщили специалисты по информационной безопасности из «Лаборатории Касперского». Целью как минимум одной атаки были органы госвласти, уточнили в «Ростелеком-Солар».

С помощью уязвимости злоумышленники могут не только шпионить за пользователями зараженной системы, но и загружать в нее вредоносные программы вроде вирусов-шифровальщиков.

Эксперты ожидают, что хакеры будут активно эксплуатировать недостаток системы, поскольку пользователи медленно устанавливают обновления.

Пошли в атаку

В России зафиксированы попытки атаковать по меньшей мере 18 организаций через новую уязвимость в продуктах Microsoft Office (MS Excel, MS Word и MS PowerPoint), сообщили «Известиям» в «Лаборатории Касперского». Там уточнили, что хакеры пытались взломать компании из научно-исследовательского, энергетического и крупного промышленного секторов, сектора разработки медицинских технологий, а также телекоммуникации и IT.

— Способ, которым злоумышленники эксплуатируют уязвимость сейчас, — это фишинговая рассылка с почтовым вложением документа.

Сотруднику достаточно открыть такой документ на своем компьютере, чтобы уязвимость отработала, а дальше на компьютер жертвы скачивается и устанавливается «полезная нагрузка» — вредоносное ПО, — рассказал руководитель отдела детектирования сложных угроз «Лаборатории Касперского» Евгений Лопатин.

«Ростелеком-Солар» зарегистрировал одну целенаправленную атаку на органы государственной власти с использованием обсуждаемой уязвимости, рассказал руководитель отдела расследования киберинцидентов Solar JSOC CERT Игорь Залевский.

https://www.youtube.com/watch?v=putfISsALOQ\u0026pp=ugMICgJydRABGAE%3D

Речь об уязвимости в MSHTML, движке браузера Internet Explorer. Эта часть отвечает за отображение содержимого веб-страницы (картинок, шрифтов и других файлов) в том или ином формате.

Формат зависит от того, в программе какого типа используется движок. Такой программой может быть как сам браузер, так и, например, почтовый клиент.

В данном случае MSHTML используется пакетом программ Microsoft Office для отображения веб-контента в документах.

Уязвимость в MSHTML позволяет злоумышленнику создавать модифицированные документы, при открытии которых Microsoft Office автоматически скачивает из Сети и запускает вредоносный скрипт — программу, которая запускает последовательность тех или иных действий на компьютере.

— После компрометации системы через эту уязвимость злоумышленник может установить бэкдор, то есть скрытый удаленный доступ к компьютеру.

Через него хакер может проникнуть в инфраструктуру или запустить вредоносный код, направленный на кражу ключевой информации из системы, включая логины, пароли, документы.

Также он может зашифровать всю систему и требовать с жертвы выкуп, чтобы расшифровать данные, — рассказал Игорь Залевский.

Мало не покажется

Можно ожидать волны атак с использованием проблемы в MSHTML, считает руководитель группы исследования угроз Positive Technologies Денис Кувшинов. По его словам, уязвимость может использоваться как в атаках повышенной сложности, так и в обычных фишинговых рассылках.

— Полагаем, что в первую очередь атаки будут направлены на те отрасли, которые традиционно являются мишенями для злоумышленников: это финансово-кредитные организации, — сказал эксперт.

Руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев добавил, что Internet Explorer до сих пор используется в качестве рекомендуемого браузера в ряде государственных систем. Хоть эта доля и мала, но госсектор или компании из приближенного к нему кластера находятся под угрозой, полагает специалист.

В «Лаборатории Касперского» тоже ожидают более широкого использования новой уязвимости. В особенности может пострадать корпоративный сектор, считают там.

— Сейчас мы видим атаки главным образом на крупные компании, но в дальнейшем, когда уязвимость возьмут на вооружение менее технически подкованные киберпреступники, под угрозой загрузки программ-вымогателей будут находиться средний и малый бизнес, — сказал Евгений Лопатин.

Делу время

Компания Microsoft объявила об обнаружении уязвимости в MSHTML 7 сентября. Тогда в корпорации признали, что ошибку используют злоумышленники, которые применяют для атак модифицированные документы Microsoft Office.

Спустя неделю IT-гигант опубликовал обновление, исправляющее ошибку. До этого компания рекомендовала пользователям отключить предварительный просмотр документов в Windows Explorer и отключить возможность установки элементов ActiveX.

Это платформа для запуска небольших программ в Internet Explorer, например, видеоплеера в окне браузера.

Именно к этой технологии обращается вредоносный скрипт из модифицированного документа Microsoft Office для предоставления злоумышленнику доступа к компьютеру.

— Мы выявили ограниченное число целевых атак. Чтобы защитить клиентов, мы опубликовали подробное руководство, — сказали «Известиям» в пресс-службе Microsoft.

Но значительное число компаний не уделяет должного внимания обновлению прикладного программного обеспечения, поэтому на закрытие уязвимости у них может уйти достаточно много времени, отметил Игорь Залевский.

— В целом несвоевременная установка патчей остается одной из ключевых проблем, которые мешают компаниям выстроить надежную IB-защиту. По нашим подсчетам, среднее время установки обновлений в российских организациях превышает 42 дня.

При этом с момента обнаружения уязвимости до ее использования хакерами проходит всё меньше времени — до считаных дней, а то и часов.

А при проведении работ мы встречаем в различных инфраструктурах старые уязвимости, для закрытия которых вендоры выпустили обновления еще несколько лет назад, — сказал эксперт.

https://www.youtube.com/watch?v=putfISsALOQ\u0026t=88s

Он добавил, что медленнее всего на уязвимости реагирует, как правило, средний и малый бизнес.

Microsoft закрыла 47 дыр в Windows, Office и других продуктах

Microsoft выпустила крупный пакет бюллетеней безопасности, призванный устранить почти полсотни уязвимостей во всех поддерживаемых версиях операционных систем Windows, браузерах и пакетах Office.

Бюллетеней – 14, уязвимостей – 47

Microsoft выпустила 14 бюллетеней безопасности в рамках ежемесячного обновления своих продуктов. Обновления получили все поддерживаемые версии Windows, браузеры и пакеты Office. Семь бюллетеней помечены как критические, остальные семь — как важные. В общей сложности выпуск призван устранить 47 уязвимостей.

Помеченные критическими два бюллетеня — MS16-104 и MS16-105 — предназначены для устранения уязвимостей в браузерах Internet Explorer и Microsoft Edge соответственно.

По данным Microsoft, эти бюллетени предназначены для устранения уязвимостей, позволяющих злоумышленникам дистанционно выполнить произвольный код в системе жертвы, направив пользователя по вредоносной ссылке.

Похожий метод эксплуатации присущ уязвимостям в Microsoft Graphics Component и Office, устранить которые призваны бюллетени MS16-106 и MS16-107. Уязвимости позволяют хакерам проникнуть в систему, заставив пользователя открыть вредоносный файл, например, прикрепленный к электронному письму.

Читайте также:  Беспроводной телефон Panasonic DECT KX-TG8301RU1/RU2 - подарок к 8 марта для прекрасных дам

Устранение уязвимостей в Adobe Flash Player

Помещенный критическим бюллетень MS16-117 предназначен для устранения брешей в Adobe Flash Player на компьютерах с операционными системами Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1 и Windows 10.

Крупный выпуск для серверов

Важно отметить, что большое количество обновлений, предназначенных для устранения критических уязвимостей, Microsoft в этот раз выпустила для серверов.

По словам специалистов из компании Qualys, мнение которых передает издание Softpedia, администраторам следует приоритизировать установку этих критических обновлений, включая бюллетень MS16-108, устраняющий уязвимости в библиотеках Oracle Outside In, встроенных в Exchange Server.

Специалисты из Core Security отметили, что один из бюллетеней — MS16-106 — направлен на устранение уязвимостей, которым Microsoft уже уделяла внимание в предыдущих патчах. По их мнению, компания, по всей видимости, решила, что эти бреши не были устранены достаточно эффективно.

Среди прочего выпуск устраняет 10-летнюю уязвимость в библиотеке Detours, предназначенной для перехвата вызовов функций в приложениях Win32. Об этой уязвимости Microsoft около девяти месяцев назад сообщили эксперты компании enSilo. Брешь позволяет злоумышленникам обходить встроенные в Windows средства защиты от вирусов и сторонние антивирусные программы.

В целом выпуск носит масштабный характер. Администраторам и пользователям необходимо держать в уме, что для установки всех обновлений потребуется перезагрузка компьютеров.

В windows 10 закрыты две опасные уязвимости, найденные экспертом positive technologies

Ошибки потенциально угрожали каждому ПК и любым другим устройствам, функционирующим под управлением Windows 10

Эксперт Positive Technologies Михаил Цветков выявил две критически опасные уязвимости в Microsoft Windows 10. Они позволяли атакующему получить доступ к компьютеру на базе этой операционной системы и перехватить конфиденциальную информацию. В мартовском пакете обновлений безопасности от Microsoft обе уязвимости были устранены.

Уязвимости обнаружены в DHCP-клиенте, встроенном в операционную систему Windows 10. Протокол DHCP отвечает за автоматическое подключение устройств к сети — раздачу этим устройствам IP-адресов и других сетевых параметров.

Он позволяет исключить конфликты в сети, например дублирование IP-адресов, а также избежать ручной настройки на каждом устройстве в отдельности.

Администратору достаточно один раз настроить DHCP-сервер на физическом сервере или маршрутизаторе, чтобы раздавать IP-адреса и другие сетевые параметры DHCP-клиентам (компьютерам сотрудников, принтерам или другому оборудованию). Раздача сетевых конфигураций происходит по запросу с определенной периодичностью, определяемой администратором.

«Подобные уязвимости эксплуатируются следующим образом. Злоумышленник настраивает на своем компьютере DHCP-сервер, который будет отвечать на запросы сетевой конфигурации умышленно поврежденными пакетами, — поясняет эксперт Positive Technologies Михаил Цветков.

— В некоторых сетях атаковать можно с мобильного телефона или планшета.

Далее злоумышленнику требуется дождаться момента, когда уязвимый компьютер на базе Windows 10 запросит обновление аренды IP-адреса (что происходит обычно раз в пару часов), и отправить нелегитимный ответ, позволяющий получить права анонимного пользователя на компьютере жертвы».

Однако, при развитии атаки с использованием данной уязвимости злоумышленник мог столкнуться с рядом трудностей.

Права анонимного пользователя имеют ограничения: с такими привилегиями запрещен доступ к пользовательским и системным процессам, папкам и веткам реестра и ряду других папок.

 А для повышения привилегий и продолжения атаки могут быть использованы другие существующие уязвимости.

По статистике Positive Technologies, рабочие станции в организациях в целом защищены неудовлетворительно: в 100% случаев внутренний злоумышленник может захватить полный контроль над сетью. Например, в 2017 году, после атаки WannaCry, более чем в половине систем эксперты обнаружили уязвимость, которую использовал этот вирус-вымогатель. При этом патч для нее был выпущен за несколько месяцев до эпидемии.

Нарушитель также должен был находиться в одной сети с атакуемой системой. Но это мог быть взломщик, получивший доступ к недостаточно защищенной рабочей станции с помощью фишинга. При этом конечной целью могла быть критически важная система — например, автоматизированная банковская система. Кроме того, в некоторых организациях атака могла быть возможна и напрямую из внешних сетей¹.

Обе обнаруженные уязвимости давали возможность проводить атаку, подменяя ответ легитимного DHCP-сервера сообщением нарушителя. Для атаки злоумышленник должен был отправить специальный список DNS-суффиксов (CVE-2019-0726) или сообщить в DHCP-ответе аномально большое количество опций (CVE-2019-0697).

Это не первый случай сотрудничества Positive Technologies и Microsoft. В 2013 году Тимур Юнусов совместно с другими экспертами Positive Technologies выявил возможность проведения XXE-атаки в различных программах пакета Microsoft Office.

В 2017 году Михаил Цветков в ходе работ по расследованию инцидента обнаружил попытку эксплуатации неизвестной на тот момент уязвимости CVE-2017-0263 в операционной системе Windows, которая позволяла атакующему устанавливать программы, просматривать, изменять, удалять данные или создавать новые учетные записи с системными привилегиями.

Все необходимые проверки на наличие уязвимостей CVE-2019-0726 и CVE-2019-0697 добавлены в базу знаний системы контроля защищенности и соответствия стандартам MaxPatrol 8.

¹В тех случаях, когда настроена функция DHCP Relay для получения сетевых параметров от внешнего DHCP-сервера.

Уязвимость Windows активируется при открытии документов Word — Лайфхакер

Исследователи обнаружили новую одну уязвимость нулевого дня, позволяющую удалённо запускать вредоносные программы. Проблемным оказался универсальный идентификатор ресурса (URI) под названием search-ms, который разрешает приложениям и ссылкам запускать поиск на компьютере.

Современные версии системы, включая Windows 11, 10 и 7, позволяют поиску Windows просматривать файлы локально и на удалённых узлах.

Злоумышленник может использовать обработчик протокола для создания, например, поддельного каталога Центра обновления Windows и обманом заставить пользователя открыть вредоносное ПО, замаскированное под обновление.

Тем не менее, современные антивирусы обычно реагируют на такие файлы и предупреждают пользователя, так что получить клик таким способом шансов мало. Но мошенники обнаружили и другие пути эксплойта этой уязвимости.

Предупреждение Microsoft Edge о попытке запуска URI / Bleeping Computer

Как оказалось, обработчик протокола search-ms можно совместить с уязвимостью в Microsoft Office OLEObject, обнаруженной ещё раньше. Она позволяет обходить защиту просмотра и запускать обработчики протокола URI без взаимодействия с пользователем.

На YouTube появилась демонстрация работы этого метода: файл MS Word использовали, чтобы запустить другое приложение — в данном случае калькулятор. Поскольку search-ms позволяет изменить название окна поиска, хакеры могут замаскировать интерфейс, чтобы ввести в заблуждение свою жертву.

Подобного можно достичь и с документами формата RTF. В этом случае даже не требуется запускать Word. Новое окно поиска открывается, когда проводник формирует превью файла на панели предварительного просмотра.

У Microsoft есть инструкция по устранению этой уязвимости. Удаление обработчика протокола search-ms из реестра Windows поможет защитить систему. Для этого:

  • Нажмите Win + R, введите cmd и нажмите Ctrl + Shift + Enter, чтобы запустить Командную строку с правами администратора.
  • Введите reg export HKEY_CLASSES_ROOTsearch-ms search-ms.reg и нажмите Enter, чтобы создать резервную копию ключа.
  • После этого введите reg delete HKEY_CLASSES_ROOTsearch-ms /f и нажмите Enter, чтобы убрать ключ из реестра.

Microsoft уже работает над устранением уязвимостей в обработчиках протоколов и связанных с ними функциях Windows. Тем не менее, эксперты утверждают, что хакеры найдут другие обработчики для эксплойтов, и Microsoft следует вместо этого запретить запуск обработчиков URL-адресов в приложениях Office без запроса пользователя.

Ссылка на основную публикацию
Adblock
detector