Microsoft закрывает восемь уязвимостей в приложениях Windows и Office

В августе компания Microsoft выпустила обновления безопасности для закрытия 120 уязвимостей в своих продуктах, 17 из которых являются критическими, а 2 были замечены в ограниченном числе целенаправленных атак.

В данной статье я расскажу о самых главных моментах этого выпуска.

Общий взгляд

Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике ниже:

Обратите внимание

• На следующие уязвимости и обновления безопасности следует обратить особое внимание:
• Windows
• CVE-2020-1585 – Microsoft Windows Codecs Library Remote Code Execution (Critical RCE – CVSS 8.8)

Затронутое ПО: поддерживаемые версии Windows 10.

Уязвимая библиотека кодеков не поставляется по умолчанию с дистрибутивом ОС, а должна быть установлена вручную или иным способом из магазина Microsoft.

Установленные экземпляры кодеком получат обновления автоматически через магазин Microsoft (если только данный функционал не был намеренно отключен пользователем).

1. CVE-2020-1509 – Local Security Authority Subsystem Service (LSASS) Elevation of Privilege (Important EOP – CVSS 8.8)
2. Затронутое ПО: поддерживаемые версии Windows и Windows Server.
3. CVE-2020-1554 – Media Foundation Memory Corruption Vulnerability (Critical RCE – CVSS 8)
4. Затронутое ПО: поддерживаемые версии Windows и Windows Server.
5. CVE-2020-1464 – Windows Spoofing Vulnerability (Important Spoofing, Exploitation Detected – CVSS 5.3)
6. Затронутое ПО: поддерживаемые версии Windows и Windows Server.

CVE-2020-1472 – Netlogon Elevation of Privilege Vulnerability (Critical EOP – CVSS 10.0!)

Затронутое ПО: Windows Server 2008 R2, 2012, 2012 R2, 2016, 2019.

Закрытие данной уязвимости запланировано в 2 фазы:

• первоначальная установка обновления безопасности от 12 августа 2020 г. (с возможностью ручного включения принудительного режима с поддержкой исключительно защищенных каналов между членами и контроллерами домена Active Directory с максимальным уровнем безопасности);
• принудительное включение режима с поддержкой исключительно защищенных каналов между членами и контроллерами домена Active Directory с максимальным уровнем безопасности после установки обновления безопасности от 9 февраля 2021 г.

В рамках 1-й фазы обновлённые ОС Windows Server с ролью контроллера домена будут поддерживать установку защищенных каналов по протоколу Netlogon (MS-NRPC) от:

• членов домена с ОС Windows,
• контроллеров домена под управлением ОС, отличных от Windows, которые поддерживают максимальный режим безопасности защищенного канала с контроллером домена,
• членов домена под управлением ОС, отличных от Windows (включая ОС, которые не поддерживают максимальный режим безопасности защищенного канала с контроллером домена),
• запросы от контроллеров домена под управлением ОС, отличных от Windows, которые не поддерживают максимальный режим безопасности защищенного канала с контроллером домена, будут отклонены!

Также в рамках 1-й фазы есть возможность ручного включения принудительного режима с поддержкой исключительно защищенных каналов между членами и контроллерами домена Active Directory с максимальным уровнем безопасности через правку нового ключа реестра, добавляемого обновлением безопасности от августа 2020 г. В этом случае контроллеры домена начнут вести себя, как во 2-й фазе – без необходимости ожидания обновлений от февраля 2021 г.

В рамках 2-й фазы обновлённые ОС Windows Server с ролью контроллера домена будут поддерживать установку защищенных каналов по протоколу Netlogon (MS-NRPC) от:

• членов домена с ОС Windows,
• контроллеров домена под управлением ОС, отличных от Windows, которые поддерживают максимальный режим безопасности защищенного канала с контроллером домена,
• запросы от членов домена под управлением ОС, отличных от Windows, которые не поддерживают максимальный режим безопасности защищенного канала с контроллером домена, будут отклонены,
• запросы от контроллеров домена под управлением ОС, отличных от Windows, которые не поддерживают максимальный режим безопасности защищенного канала с контроллером домена, будут отклонены!

В рамках 2-й фазы обновлённые ОС Windows Server с ролью контроллера домена будут поддерживать установку защищенных каналов по протоколу Netlogon (MS-NRPC) от членов домена под управлением ОС, отличных от Windows, которые не поддерживают максимальный режим безопасности защищенного канала с контроллером домена, только после создания через объекты групповой политики домена отдельных исключений.

• За подробной инструкцией с описанием фаз и ожидаемого поведения ПО обратитесь к статье базы знаний.
• Microsoft Browsers
• CVE-2020-1567 – MSHTML Engine Remote Code Execution Vulnerability (Critical/Modern RCE – CVSS 7.5)
• Затронутое ПО: Internet Explorer 11/9.
• CVE-2020-1380 – Scripting Engine Memory Corruption Vulnerability (Critical/Modern RCE, Exploitation Detected – CVSS 7.5)
• Затронутое ПО: Internet Explorer 11.
• Microsoft Office
• CVE-2020-1483 – Microsoft Outlook Memory Corruption Vulnerability (Critical RCE, Preview Pane is an attack vector!)
• Затронутое ПО: Microsoft 365 Apps for Enterprise, Office 2019, Outlook 2016, Outlook 2013, Outlook 2010.
• CVE-2020-1495 – Microsoft Excel Remote Code Execution Vulnerability (Important RCE)
• Затронутое ПО: SharePoint Server 2010, SharePoint Enterprise Server 2013, Office Online Server, M365 Apps for Enterprise, Office 2010/2013/2016/2019, Excel 2010/2013/2016, Office 2016/2019 for Mac.
• Microsoft SharePoint
• CVE-2020-1499 – Microsoft SharePoint Spoofing Vulnerability (Important Spoofing XSS)
• Затронутое ПО: SharePoint Server 2019, SharePoint Enterprise Server 2013/2016, SharePoint Foundation 2010/2013.

Visual Studio, .NET Framework, .NET Core

1. CVE-2020-1046 (Critical RCE)
2. CVE-2020-1476
3. CVE-2020-1597
4. CVE-2020-0604
5. SQL Server
6. CVE-2020-1455
7. Other software
8. CVE-2020-1461 – Dynamics 365 (on-premises) version 9.0 Spoofing

Рекомендации по безопасности

• Были дополнены и обновлены следующие рекомендательные документы:
• ADV990001 – Latest Servicing Stack Updates (SSU)
• Обновления SSU были выпущены для:
• Windows 10 1809/Server 2019
• Windows 10 1903/Windows Server, version 1903
• Windows 10 1909/Windows Server, version 1909
• Windows 10 2004/Windows Server, version 2004

Окончание поддержки

Внимание: 14 января 2020 г. закончилась поддержка Windows 7, Windows Server 2008, Windows Server 2008 R2!

Обновления безопасности доступны только заказчикам с контрактом Extended Security Updates (ESU). Подробности о ESU можно получить в этой статье.

Подробности об окончании поддержки и вариантах миграции на нашем портале.

Возможные проблемы

Полный список статей базы знаний для соответствующих пакетов обновлений, с которыми связаны потенциальные проблемы при установке, приведен в заметках к выпуску.

Дополнительная информация

Самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide.

Для Windows 7 и Windows 2008/R2 в интерфейсе Security Update Guide появилась отдельная категория ESU (Extended Security Updates):

Запись вебинара с разбором выпуска

Вы также можете посмотреть запись нашего ежемесячного вебинара Брифинг по безопасности, посвященного подробному разбору текущего выпуска обновлений и бюллетеней безопасности компании Microsoft.

Помните, для 86% всех уязвимостей были доступны патчи на момент их обнародования*, и своевременно обновляйте ваши системы.

А для того чтобы быть в курсе самых актуальных новостей информационной безопасности Microsoft, подписывайтесь на канал https://aka.ms/artsin.

1. Артём Синицын CISSP, CCSP, MCSE, Microsoft Certified Azure Security Engineer
2. руководитель программ информационной безопасности Microsoft

Ради борьбы с малварью Microsoft блокирует макросы в приложениях Office и использование MSIX

Рекомендуем почитать:

• Содержание выпуска
• Подписка на «Хакер»

Компания Microsoft активно борется со злоупотреблениями в своих продуктах и сервисах, которые используются злоумышленниками для распространения малвари. По этой причине в пяти приложениях Office теперь будут отключены макросы VBA, а обработчик протокола MSIX временно прекратит работу в Windows.

Макросы

В начале ткущей недели Microsoft объявила, что теперь выполнение макросов VBA в пяти приложениях Office будет блокироваться по умолчанию.

Начиная с апреля 2022 года пользователи Access, Excel, PowerPoint, Visio и Word более не смогут активировать макроскрипты VBA в документах, загруженных из интернета. Документы, содержащие макросы VBA, но созданные и полученные в рамках доверенной сети организации, по-прежнему будут работать как обычно.

Предполагается, что это изменение создаст определенный барьер для некоторых семейств малвари, которые полагаются на обман пользователей, вынуждая их включать и выполнять макросы для установки вредоносного ПО.

Чаще всего в рамках таких атак пользователи получают по почте некий документ, который им предлагается открыть.

В этот файл злоумышленники обычно встраивают сообщение, инструктирующее пользователя разрешить выполнение макросов.

Проблема в том, что многие  пользователи Office до сих пор не знают об этом методе атак и доверчиво следуют инструкциям хакеров, заражая свои системы разнообразной малварью.

Увы, отключение макроскриптов VBA стало большой проблемой для Microsoft, так как они часто применяются внутри компаний для автоматизации определенных операций и задач, например, импорта данных и обновления содержимого документа из динамических источников. С начала 2000-х годов Microsoft начала показывать предупреждения о возможной опасности включения VBA, однако само это сообщение содержало в себе элементы управления и позволяло пользователям все же выполнить макросы.

«Изменения вступят в силу в версии 2203, начиная с Current Channel (Preview) в начале апреля 2022 года, — пишут разработчики.— Позже эти изменение станут доступны в других каналах обновлений, включая Current Channel, Monthly Enterprise Channel и Semi-Annual Enterprise Channel».

Пока нововведения затронут только клиентов Microsoft 365, но в компании говорят, что в будущем планируют перенести изменения и на другие версии Office, включая Office LTSC, Office 2021, Office 2019, Office 2016 и Office 2013.

MSIX

Также в конце прошлой недели Microsoft сообщила, что временно отключает обработчик протокола MSIX в Windows. Дело в том, что последние три месяца операторы малвари Emotet активно злоупотребляют им для развертывания вредоносного ПО в пользовательских системах.

В настоящее время известно, что Microsoft работает над тем, чтобы сделать эту функцию безопаснее и защитить ее от подобных злоупотреблений, однако не сообщается, когда ее планируют включить снова.

MSIX — это формат упаковки файлов, разработанный специально для Windows 10.

Он был основан на концепции файлов манифеста XML, в которых разработчики могут описать, как происходит процесс установки, какие файлы необходимы и где их можно получить.

Хотя изначально MSIX был доступен для новейших версий Windows, в итоге его перенесли даже в Windows 7 (посредством MSIX Core), и теперь файлы, упакованные с помощью MSIX, можно использовать во всех версиях Windows.

Проблема заключается в том, что файлы, упакованные с помощью MSIX, могут быть доставлены в систему через интернет, посредством ms-appinstaller, который позволяет разработчикам создавать ссылки формата ms-appinstaller:?source=//website.com/file.appx. В ноябре прошлого года эту особенность начали эксплуатировать операторы ботнета Emotet, злоупотребляя ссылками ms-appinstaller для атак на корпоративных пользователей.

В рамках этой кампании хакеры рассылают целям письма, в которых заманивают пользователей на вредоносные сайты. На таких сайтах якобы содержатся важные документы, которые получатель должен просмотреть, установив специальный PDF-компонент. Ссылка на этот компонент на самом деле представляет собой ссылку формата ms-appinstaller://, и на машину пользователя устанавливается троян BazaarLoader.

Microsoft закрыла около 100 уязвимостей, 9 из них критические

Компания Microsoft начала год с ударной работы над уязвимостями.

Она выпустила не только первый в 2022 году вторничный пакет обновлений, закрывающий в общей сложности 96 уязвимостей, но и пачку исправлений для браузера Microsoft Edge (в основном связанных с движком Chromium).

Так что всего с начала года компания закрыла более 120 уязвимостей в целом списке своих продуктов. Это явный повод как можно скорее обновить операционную систему и некоторые приложения Microsoft.

Наиболее критические уязвимости

Девять из закрытых уязвимостей имеют критический статус по шкале CVSS 3.1. Из них две связаны с возможностью повышения доступа к ресурсам системы (уязвимости эскалации привилегий): CVE-2022-21833 в Virtual Machine IDE Drive и CVE-2022-21857 в Active Directory Domain Services. Эксплуатация остальных семи может дать атакующему возможность удаленного выполнения кода:

Из всего этого богатства самой неприятной уязвимостью, по всей видимости, является последняя.

Баг в стеке протоколов HTTP теоретически позволяет злоумышленникам не просто заставить машину исполнить произвольный код, но и распространить атаку по локальной сети (по терминологии Microsoft, уязвимость относится к категории wormable, то есть может быть использована для создания червя).

Данная уязвимость актуальна для операционных систем Windows 10, Windows 11, Windows Server 2022 и Windows Server 2019. Правда, по словам Microsoft, в Windows Server 2019 и Windows 10 версии 1809 она становится опасной только если пользователь включает HTTP Trailer Support при помощи ключа EnableTrailerSupport в реестре.

Также эксперты выражают беспокойство из-за наличия очередной уязвимости в Microsoft Exchange Server (к слову, она в общем списке закрытых багов не единственная, CVE-2022-21846 просто самая опасная из найденных). И экспертов можно понять — никто не хочет повторения прошлогодних событий с массовой эксплуатацией уязвимостей в Exchange.

Уязвимости с опубликованными доказательствами осуществления атак

Некоторые из закрытых уязвимостей уже были известны общественности, а к некоторым уже успели соорудить доказательства осуществления атак:

• CVE-2022-21836 — уязвимость, позволяющая подменить сертификаты Windows;
• CVE-2022-21839 — уязвимость, позволяющая организовать DoS-атаку на Event Tracing Discretionary Access Control List;
• CVE-2022-21919 — уязвимость эскалации привилегий в пользовательских профилях Windows.

Реальных атак с применением этих уязвимостей пока не наблюдалось, однако поскольку доказательства их осуществления опубликованы, они могут начаться в любой момент.

Как оставаться в безопасности

Во-первых, нужно незамедлительно обновить систему (да и прочие программы от Microsoft), да и в целом стараться не затягивать с установкой заплаток для критически важного ПО.

Во-вторых, любой компьютер или сервер, имеющий выход в Интернет, должен быть снабжен защитным решением, способным не только предотвращать эксплуатацию известных уязвимостей, но и выявлять атаки с применением неизвестных эксплойтов.

Разбираемся с cookies и рассказываем, как их настройки влияют на вашу конфиденциальность в Сети.

Рассказываем, как злоумышленники выманивают реквизиты банковских карт от имени службы доставки DHL.

Рассказываем про настройки безопасности в самой большой российской соцсети — VK.

Рассказываем, как настроить профиль в Vivino максимально безопасно.

Зловреды заражают роутеры, замедляют Интернет и крадут данные. Рассказываем, как защитить свой Wi-Fi.

В этом месяце microsoft закрывает более 80 уязвимостей в windows, office, edge и не только

Состоялся релиз очередного вторничного патча

анонсы и реклама

Прошёл второй вторник месяца, а значит на вашем компьютере на Windows доступны для установки очередные обновления от Microsoft. На этот раз они закрывают 87 уязвимостей от важных до критических. В частности, закрыта известная уязвимость PrintNightmare и уязвимости нулевого дня в приложениях пакета Office, которые уже используются на практике.

Весят обновления не особо много, но это не делает их менее важными. Несколько уязвимостей закрыты в браузере Edge на Chromium. Среди других обновлённых продуктов можно назвать Windows, Windows DNS, подсистему Windows для Linux, Visual Studio, Office, SharePoint Server, Edge и Azure.

Закрывается уязвимость нулевого дня в Office под номером CVE-2021-40444, которой хакеры уже нашли применение. Применяются вредоносные файлы, при открытии которых пользователи попадают на веб-страницу в Internet Explorer и на компьютер автоматически загружаются вредоносные программы.

Это происходит благодаря ошибке в компоненте MSHTML Microsoft Office. Он необходим для отображения страниц браузера в содержимом файлов Word. Затронуты операционные системы Windows 7, Windows 10 и Windows Server версий 2008 и более поздние.

Три уязвимости влияют на драйвер файловой системы общего журнала Windows — CVE-2021-36955, CVE-2021-36963 и CVE-2021-38633. Они позволяют повышать привилегии в системе и вносить в неё изменения. Затронуты все версии Windows. Пока нет доказательств, что эти уязвимости применялись на практике.

Закрыты четыре уязвимости с повышением привилегий в службе диспетчера очереди печати в Windows 10. Это CVE-2021-38667, CVE-2021-36958, CVE-2021-38671 и CVE-2021-40447.

Пользователи Windows 7, Windows Server 2008 и Windows Server 2008 R2 должны поставить обновление CVE-2021-36968. Уязвимость повышает привилегии через Windows DNS и не требует взаимодействия с пользователем.

Microsoft закрыла несколько критических уязвимостей в Windows и Office

Вчера Microsoft выпустила накопительные обновления для своей операционной системы Windows 10. Апдейт принес не только багфиксы и улучшения производительности, но и критически важные патчи безопасности. Microsoft выпустила пять патчей уязвимостей, некоторые из них использовались злоумышленниками.

MS16-118 исправляет дыры безопасности в различных версиях Internet Explorer. Они позволяли удаленно исполнять вредоносный код при условии просмотра зараженного веб-сайта. Обновление также служит своего рода заплаткой, которая прикрывает доступ к возможности проверить наличие конкретных файлов на компьютере жертвы.

MS16-119 исправляет подобные проблемы в Edge, где уязвимости позволяли запускать вредоносный код и получать другие привилегии над компьютером.

Апдейт улучшает браузер на различных уровнях, изменяя поведение обозревателя и Javascript-движка с различными объектами в памяти, ограничивая информацию, которую Edge может запрашивать, а также изменяет процедуры хранения пользовательских данных.

MS16-120 распространяется на графический компонент Microsoft, что актуально для Windows, Office 2007, Office 2010, Skype for Business 2016, Silverlight, Lync 2013 и Lync 2010. Атаки с использованием уязвимостей использовались путем открытия специально созданных файлов или веб-сайтов.

MS16-122 лечит компонент Microsoft Video Control, а MS16-127 относится к уязвимостям Flash во всех поддерживаемых версиях Internet Explorer и Microsoft Edge. Этот патч исправил около 12 дыр, о которых было известно.

Все описанное выше является ответом на вопрос зачем устанавливать накопительные обновления. Держите свою систему в актуальном состоянии, регулярно устанавливая доступные обновления и улучшения защиты.

+2

 Loading …

Как исправить уязвимость Microsoft «Follina» MSDT Windows Zero-Day

Microsoft признала критическую уязвимость нулевого дня в Windows, затрагивающую все основные версии, включая Windows 11, Windows 10, Windows 8.1 и даже Windows 7.

Уязвимость, идентифицированная с помощью трекера CVE-2022-30190 или Follina , позволяет злоумышленникам удаленно запускать вредоносное ПО в Windows без запуска Защитника Windows или другого программного обеспечения безопасности.

К счастью, Microsoft поделилась официальным обходным решением для снижения риска. В этой статье мы подробно описали шаги по защите ваших ПК с Windows 11/10 от последней уязвимости нулевого дня.

Исправление уязвимости нулевого дня Windows «Follina» MSDT (июнь 2022 г.)

Что такое уязвимость Follina MSDT Windows Zero-Day (CVE-2022-30190)?

Прежде чем мы перейдем к шагам по устранению уязвимости, давайте разберемся, что такое эксплойт. Эксплойт нулевого дня, известный по коду отслеживания CVE-2022-30190, связан с Microsoft Support Diagnostic Tool (MSDT). С помощью этого эксплойта злоумышленники могут удаленно запускать команды PowerShell через MSDT при открытии вредоносных документов Office.

«Уязвимость удаленного выполнения кода существует, когда MSDT вызывается с использованием протокола URL из вызывающего приложения, такого как Word.

Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с привилегиями вызывающего приложения.

Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи в контексте, разрешенном правами пользователя», — поясняет Microsoft.

Как объясняет исследователь Кевин Бомонт, атака использует функцию удаленного шаблона Word для извлечения HTML-файла с удаленного веб-сервера.

Затем он использует схему URI ms-msdt MSProtocol для загрузки кода и выполнения команд PowerShell.

В качестве примечания: эксплойт получил название «Фоллина», потому что в файле примера есть ссылка на 0438, код города Фоллина, Италия.

На этом этапе вам может быть интересно, почему Microsoft Protected View не остановит документ от открытия ссылки. Ну, это потому, что выполнение может произойти даже за пределами защищенного просмотра. Как отметил исследователь Джон Хаммонд в Твиттере, ссылка может быть запущена прямо из панели предварительного просмотра Проводника в виде файла в формате Rich Text Format (.rtf).

Согласно отчету ArsTechnica, исследователи из Shadow Chaser Group обратили внимание Microsoft на уязвимость еще 12 апреля.

Хотя Microsoft ответила неделю спустя, компания , похоже, отклонила ее, поскольку они не могли воспроизвести то же самое со своей стороны.

Тем не менее, уязвимость теперь помечена как нулевой день, и Microsoft рекомендует отключить протокол URL-адресов MSDT в качестве обходного пути для защиты вашего ПК от эксплойта.

Уязвим ли мой ПК с Windows для эксплойта Follina?

На своей странице руководства по обновлениям безопасности Microsoft перечислила 41 версию Windows, уязвимую к уязвимости Follina CVE-2022-30190. Он включает в себя Windows 7, Windows 8.1, Windows 10, Windows 11 и даже выпуски Windows Server. Ознакомьтесь с полным списком затронутых версий ниже:

• Windows 10 версии 1607 для 32-разрядных систем
• Windows 10 версии 1607 для систем на базе x64
• Windows 10 версии 1809 для 32-разрядных систем
• Windows 10 версии 1809 для систем на базе ARM64
• Windows 10 версии 1809 для систем на базе x64
• Windows 10 версии 20H2 для 32-разрядных систем
• Windows 10 версии 20H2 для систем на базе ARM64
• Windows 10 версии 20H2 для систем на базе x64
• Windows 10 версии 21H1 для 32-разрядных систем
• Windows 10 версии 21H1 для систем на базе ARM64
• Windows 10 версии 21H1 для систем на базе x64
• Windows 10 версии 21H2 для 32-разрядных систем
• Windows 10 версии 21H2 для систем на базе ARM64
• Windows 10 версии 21H2 для систем на базе x64
• Windows 10 для 32-разрядных систем
• Windows 10 для систем на базе x64
• Windows 11 для систем на базе ARM64
• Windows 11 для систем на базе x64
• Windows 7 для 32-разрядных систем с пакетом обновления 1
• Windows 7 для 64-разрядных систем с пакетом обновления 1 (SP1)
• Windows 8.1 для 32-битных систем
• Windows 8.1 для систем на базе x64
• Windows РТ 8.1
• Windows Server 2008 R2 для 64-разрядных систем с пакетом обновления 1 (SP1)
• Windows Server 2008 R2 для систем на базе x64 с пакетом обновления 1 (установка Server Core)
• Windows Server 2008 для 32-разрядных систем с пакетом обновления 2
• Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (установка Server Core)
• Windows Server 2008 для 64-разрядных систем с пакетом обновления 2 (SP2)
• Windows Server 2008 для 64-разрядных систем с пакетом обновления 2 (установка Server Core)
• Виндовс Сервер 2012
• Windows Server 2012 (установка ядра сервера)
• Windows Server 2012 R2
• Windows Server 2012 R2 (установка ядра сервера)
• Виндовс сервер 2016
• Windows Server 2016 (установка ядра сервера)
• Виндовс Сервер 2019
• Windows Server 2019 (установка ядра сервера)
• Windows Server 2022
• Windows Server 2022 (установка ядра сервера)
• Исправление ядра Windows Server 2022 Azure Edition
• Windows Server, версия 20H2 (установка ядра сервера)

Отключить протокол MSDT URL для защиты Windows от уязвимости Follina

1. Нажмите клавишу Win на клавиатуре и введите «Cmd» или «Командная строка». Когда появится результат, выберите «Запуск от имени администратора», чтобы открыть окно командной строки с повышенными привилегиями.

2. Перед изменением реестра используйте приведенную ниже команду для создания резервной копии. Таким образом, вы можете восстановить протокол после того, как Microsoft выпустит официальный патч. Здесь путь к файлу относится к месту, где вы хотите сохранить файл резервной копии. reg.

reg export HKEY_CLASSES_ROOTms-msdt

3. Теперь вы можете запустить следующую команду, чтобы отключить протокол MSDT URL. В случае успеха вы увидите текст «Операция успешно завершена» в окне командной строки.

reg delete HKEY_CLASSES_ROOTms-msdt /f

4. Чтобы восстановить протокол позже, вам придется использовать резервную копию реестра, сделанную на втором шаге. Выполните приведенную ниже команду, и вы снова получите доступ к протоколу URL-адресов MSDT.

reg import

Итак, это шаги, которые вам нужно выполнить, чтобы отключить протокол URL-адресов MSDT на вашем ПК с Windows, чтобы предотвратить эксплойт Follina. Пока Microsoft не выпустит официальное исправление безопасности для всех версий Windows, вы можете использовать этот удобный обходной путь, чтобы оставаться защищенным от уязвимости нулевого дня CVE-2022-30190 Windows Follina MSDT.

Говоря о защите вашего ПК от вредоносных программ, вы также можете рассмотреть возможность установки специальных инструментов для удаления вредоносных программ или антивирусного программного обеспечения, чтобы обезопасить себя от других вирусов.

Microsoft закрыла 47 дыр в Windows, Office и других продуктах

Microsoft выпустила крупный пакет бюллетеней безопасности, призванный устранить почти полсотни уязвимостей во всех поддерживаемых версиях операционных систем Windows, браузерах и пакетах Office.

Бюллетеней – 14, уязвимостей – 47

Microsoft выпустила 14 бюллетеней безопасности в рамках ежемесячного обновления своих продуктов. Обновления получили все поддерживаемые версии Windows, браузеры и пакеты Office. Семь бюллетеней помечены как критические, остальные семь — как важные. В общей сложности выпуск призван устранить 47 уязвимостей.

Помеченные критическими два бюллетеня — MS16-104 и MS16-105 — предназначены для устранения уязвимостей в браузерах Internet Explorer и Microsoft Edge соответственно.

По данным Microsoft, эти бюллетени предназначены для устранения уязвимостей, позволяющих злоумышленникам дистанционно выполнить произвольный код в системе жертвы, направив пользователя по вредоносной ссылке.

Похожий метод эксплуатации присущ уязвимостям в Microsoft Graphics Component и Office, устранить которые призваны бюллетени MS16-106 и MS16-107. Уязвимости позволяют хакерам проникнуть в систему, заставив пользователя открыть вредоносный файл, например, прикрепленный к электронному письму.

Устранение уязвимостей в Adobe Flash Player

Помещенный критическим бюллетень MS16-117 предназначен для устранения брешей в Adobe Flash Player на компьютерах с операционными системами Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1 и Windows 10.

Крупный выпуск для серверов

Важно отметить, что большое количество обновлений, предназначенных для устранения критических уязвимостей, Microsoft в этот раз выпустила для серверов.

По словам специалистов из компании Qualys, мнение которых передает издание Softpedia, администраторам следует приоритизировать установку этих критических обновлений, включая бюллетень MS16-108, устраняющий уязвимости в библиотеках Oracle Outside In, встроенных в Exchange Server.

Специалисты из Core Security отметили, что один из бюллетеней — MS16-106 — направлен на устранение уязвимостей, которым Microsoft уже уделяла внимание в предыдущих патчах. По их мнению, компания, по всей видимости, решила, что эти бреши не были устранены достаточно эффективно.

Среди прочего выпуск устраняет 10-летнюю уязвимость в библиотеке Detours, предназначенной для перехвата вызовов функций в приложениях Win32. Об этой уязвимости Microsoft около девяти месяцев назад сообщили эксперты компании enSilo. Брешь позволяет злоумышленникам обходить встроенные в Windows средства защиты от вирусов и сторонние антивирусные программы.

В целом выпуск носит масштабный характер. Администраторам и пользователям необходимо держать в уме, что для установки всех обновлений потребуется перезагрузка компьютеров.

В «поиске windows» нашли уязвимость нулевого дня

Исследователи обнаружили новую уязвимость нулевого дня в компоненте «Поиск Windows» (Windows Search) — CVE-2022-30190.

Она позволяет злоумышленникам открывать окна, содержащие хранящиеся удалённо исполняемые файлы вредоносных программ. А чтобы открыть такое окно, жертве достаточно запустить документ Word.

Специалисты из Microsoft выпустили инструкцию на тему того, как обезопасить себя от этой уязвимости.

Уязвимость находится в диагностическом инструменте Microsoft — MSDT, который сам по себе не представляет серьёзной угрозы. Но если подсунуть ему документ MS Office, то хакеры смогут получить доступ к системе.

Проблема возникает при обработке URI-протокола «search-ms», который позволяет приложениям и HTML-ссылкам запускать настраиваемый поиск на устройстве. Такие поисковые запросы могут обращаться внутрь устройства, но «Поиск Windows» расширяет их возможности. Он может запрашивать общие файловые ресурсы, расположенные на удалённых хостах.

Например, существует набор утилит Sysinternals, который позволяет пользователю удалённо подключить live.sysinternals.com как сетевую папку и запускать оттуда инструменты. И для таких действий может использоваться следующий URI из категории «search-ms»:

search-ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals

В этом запросе переменная «crumb» определяет местоположение, а «displayname» — устанавливает поисковый заголовок. При этом уязвимость можно эксплуатировать на всех операционных системах Windows — десктопных и серверных.

Представим сценарий атаки, который придумали исследователи, занимающиеся поиском уязвимостей.

Хакер создаёт вредоносный документ MS Office и как-то его распространяет — через сайты, соцсети, торрент-раздачи. Хотя самым популярным способом всё ещё остаётся e-mail-рассылка с вложенными файлами, которые сопровождаются классической социальной подводкой, чтобы привлечь внимание. Например: «Срочно прочитай контракт. Завтра его нужно будет подписать».

Заражённый файл содержит ссылку на HTML-файл, внутри которого находится JavaScript-код. Этот код как раз и является вредоносным — он запускает команду через MSDT и получает доступ к данным. Если атака прошла успешно, хакер сможет устанавливать программы, просматривать, менять или удалять файлы, а также создавать новые аккаунты в системе.

Пока не вышел патч, специалисты из Microsoft рекомендуют выключить -протоколы формата MSDT URL. Чтобы сделать это, нужно запустить команду ниже в командной строке с правами администратора:

reg delete HKEY_CLASSES_ROOTms-msdt /f

Но перед этим желательно бэкапнуть регистры с помощью команды:

reg export HKEY_CLASSES_ROOTms-msdt filename

Кроме этого, стоит внимательнее читать email-сообщения от незнакомых пользователей — особенно те, в которые вложены документы формата MS Office.