Microsoft ремонтирует 5 ноль

Jul 14, 2023

Microsoft выпустила одно из своих крупнейших обновлений безопасности за последнее время во вторник патчей в июле, устраняя 130 новых уязвимостей, включая пять нулевых дней.

В этом месяце администраторам придется столкнуться с двумя рекомендациями: нулевым днем ​​без исправления, следующим шагом по обновлению двух ключевых протоколов аутентификации и девятью перевыпущенными CVE. Из новых уязвимостей девять были оценены как критические. Огромное количество уязвимостей, которые необходимо устранить, в сочетании со сложностью некоторых мер по их устранению ляжет в этом месяце на испытание для многих ИТ-отделов.

«У меня такое ощущение, что июль принесет много сопутствующего ущерба, большое влияние на эксплуатацию и множество отложенных обновлений на определенный период времени», — сказал Крис Геттл, вице-президент Ivanti по управлению продуктами безопасности. «Компаниям придется позаботиться о том, чтобы не ждать слишком долго с выпуском патча, потому что происходит много рисков».

Microsoft обновила исправление нулевого дня, которое она рассмотрела в мае для уязвимости обхода функции безопасности Secure Boot (CVE-2023-24932), которая считается важной для Windows Server и настольных систем.

Июльская версия упрощает развертывание файлов для отзыва диспетчеров загрузки системы и аудит этого действия с помощью журнала событий. Microsoft поделилась инструкциями по этому развертыванию в своей статье KB5025885 и призвала клиентов следовать инструкциям по усилению безопасности своих систем.

«Эта уязвимость подтверждена фактами эксплойтов и базовым рейтингом CVSS 6,7», — сказал Геттл. «Это оценивается только как важное, но организациям настоятельно рекомендуется относиться к этому как к критичному».

Новинкой июльского вторника исправлений является уязвимость нулевого дня Microsoft Outlook (CVE-2023-35311), которая представляет собой уязвимость обхода функции безопасности, имеющую рейтинг важности с рейтингом CVSS 8,8. Злоумышленник может нацелиться на пользователя с помощью специально созданного URL-адреса, используя панель предварительного просмотра Outlook в качестве вектора атаки, но пользователю придется щелкнуть ссылку, чтобы злоумышленник мог воспользоваться уязвимостью.

Удаленное выполнение HTML-кода Office и Windows нулевого дня (CVE-2023-36884) считается важным для приложений Windows Server, настольных компьютеров и Microsoft Office. Пользователю придется открыть специально созданный злоумышленником документ Microsoft Office, чтобы активировать эксплойт, который позволит злоумышленнику выполнить удаленное выполнение кода в контексте жертвы.

На момент публикации этой статьи у Microsoft не было исправления, но она заявила, что клиенты, использующие Microsoft Defender для Office, защищены. Компания заявила, что некоторые из ее других продуктов безопасности, включая Microsoft Defender Antivirus, могут использовать правило уменьшения поверхности атаки для блокировки этой угрозы. Microsoft заявила, что администраторы, которые не используют эти продукты безопасности, могут внести изменения в реестр в уязвимые системы с помощью групповой политики или Configuration Manager.

Геттл сказал, что организации, которые следуют принципу минимальных привилегий, затруднят злоумышленнику использование этой уязвимости, поскольку им придется найти другой способ повысить уровень своих привилегий по сравнению с тем, который имеет типичный конечный пользователь.

Служба отчетов об ошибках Windows с повышенным уровнем привилегий нулевого дня (CVE-2023-36874), получившая оценку «важно», влияет на настольные и серверные системы Windows. Злоумышленнику необходим локальный доступ к целевой машине с разрешениями на создание папок и трассировкой производительности, чтобы воспользоваться уязвимостью и получить права администратора.

Следующий нулевой день — это уязвимость обхода функции безопасности Windows SmartScreen (CVE-2023-32049), которая считается важной для Windows Server и настольных систем. Пользователю придется щелкнуть специально созданный URL-адрес, чтобы активировать эксплойт. Геттл сказал, что эта уязвимость обычно используется как часть цепочки атак для получения дальнейшего доступа к инфраструктуре организации.

Последней новой атакой нулевого дня является уязвимость, связанная с несанкционированным повышением привилегий платформы Windows MSHTML (CVE-2023-32046), которая признана важной и затрагивает Windows Server и настольные системы. Злоумышленник может атаковать пользователя с помощью специально созданного файла, отправленного по электронной почте или размещенного на веб-сайте; если любой из методов окажется успешным, злоумышленник сможет получить права пользователя.