Софтверный гигант в середине апреля 2020 г. предъявил значительный патч, позволяющий исправить 113 уязвимостей разного уровня в продуктах компании. Из них 15 являются критическими, а 94 относят к высокоопасным. Как минимум четыре уязвимости киберпреступники использовали задолго до того, как Microsoft выпустил обновления. Утечка информации о двух багах произошла значительно раньше выхода патчей.
Исправления касаются Microsoft Windows, Microsoft Edge (на базе EdgeHTML и Chromium), Chakra Core, Internet Explorer, Microsoft Office и Microsoft Office Services and Web Apps, Windows Defender, Visual Studio, Microsoft Dynamics, Microsoft Apps под Android и Mac.
Больших проблем ожидают от CVE-2020-0968, продемонстрировавшего уязвимость в Internet Explorer. Этот критический баг может приводить к нарушению монолитности памяти в Internet Explorer, что повлечет за собой запуск произвольного кода в системе. Причину отыскали в скриптовом модуле браузера, допускающем неточности в обработке объектов.
Рецепт использования уязвимости прост: потенциальную жертву заманивают на сайт, содержащий вредоносный код, созданный заранее, или дискредитированный чужой. При желании вредоносный код можно встроить в документ Microsoft Office. В обоих случаях атака потребует использования слабости человеческого фактора. В остальном она проста в обращении.
Internet Explorer не самый применяемый браузер, но доля его использования в мире превышает 3%, что делает его уязвимость довольно привлекательной для киберзлоумышленников. Баг был достаточно популярен в кибератаках.
Также привлекательными показались для киберзлоумышленников две высокоопасных уязвимости под индексами CVE-2020-1020 и CVE-2020-0938. Обе имеют отношение к Windows Adobe Type Manager Library.
Баг CVE-2020-1020, связанный с некорректной обработкой специального базового шрифта формата Adobe Type 1 Post Script, может быть запущен в системы жертвы, если злоумышленники смогут убедить ее открыть и просмотреть специально подготовленный шрифт. Код будет действовать с привилегиями текущего пользователя. Об этой проблеме стало известно до выпуска бюллетеней безопасности.
Другая уязвимость относится к модулю отрисовки шрифтов OpenType в Windows и также дает возможность запускать произвольный код, если жертва дает согласие ознакомиться со специально подготовленным шрифтом.
Киберзлоумышленники активно используют указанные уязвимости. Неприятности усугубляются обстоятельством, что под кибер ударом оказываются преимущественно машины на базе Windows 7, которой Microsoft уже отказала в поддержке. Не все потенциальные жертвы получат обновления против данного бага.
Последний из часто используемых багов, CVE-2020-1027 касается ядра самой операционной системы Windows. Он вызван некорректной обработкой объектов в памяти. Этот баг дает возможность запускать произвольный код с повышенными привилегиями. Но для этого необходима локальная авторизация злоумышленника, поэтому уязвимость котируется как высокоопасная, но не критическая.
Среди перечисленных критических уязвимостей, указанных в апрельском Patch Tuesday, три имеют отношение к Windows Media, одна — к Windows Hyper-V, две — к Microsoft Scripting Engine, три — к Microsoft Office Share Point, одна — к Microsoft Office, две выявлены в Microsoft Graphics Component, одна обнаружена в Microsoft Dynamics, и одна — в самой операционной системе Windows.
Не все из исправленных уязвимостей критические, но системным администраторам не следует игнорировать их. Чем быстрее будут установлены обновления, тем меньше у киберзлоумышленников шансов на успех.