Управление информатизации НИИОЗММ информирует об актуальных угрозах: компания «Майкрософт» выпустила январские обновления безопасности, исправляющие в сумме 98 уязвимостей в компонентах Windows. В этом месяце исправлены две 0-day уязвимости, одна из которых уже используется в атаках, а информация о второй ранее была выложена в общий доступ. Также 11 уязвимостей отмечены как критические.
Отдельно отметим, что сегодня с выпуском обновлений безопасности «Майкрософт» прекращает поддержку нескольких версий Windows:
- заканчивается поддержка ОС Windows 8.1. Это означает, что для этой ОС больше не будет обновлений безопасности. «Майкрософт» заявляет, что для Windows 8.1 не будет расширенного платного периода поддержки (ESU), как было в случае с Windows 7. Мы не рекомендуем использовать Windows 8.1 в инфраструктуре после 10 января 2023, поскольку это может угрожать безопасности остальных сегментов инфраструктуры. Рекомендуем обновиться до актуальных версий (Windows 10, Windows 11);
- заканчивается расширенная платная поддержка (ESU) ОС Windows 7. Основная поддержка операционной системы была прекращена еще 14 января 2020, но одновременно с этим была запущена платная поддержка обновлениями на 3 года. Рекомендуем отказаться от использования Windows 7 в инфраструктуре, чтобы не создавать угрозу безопасности остальным сегментам. Рекомендуем обновиться до актуальных версий (Windows 10, Windows 11).
На что стоит обратить внимание в первую очередь:
- CVE-2023-21674 – Elevation of Privilege уязвимость в Windows Advanced Local Procedure Call (ALPC)
Severity: Important
CVSS:3.1 8.8 / 8.2
Информация не была ранее опубликована в публичном доступе.
Зафиксированы попытки эксплуатации злоумышленниками в атаках.
Исправление для 0-day уязвимости, которая уже активно используется в атаках. «Майкрософт» не публикует каких-либо технических подробностей, но заявляет, что при успешной эксплуатации злоумышленник может совершить «побег из песочницы браузера» и получить привилегии, аналогичные SYSTEM. Скорее всего, в ближайшее время стоит ожидать рабочий PoC и подробный технический разбор.
Подробнее – по ссылке.
- CVE-2023-21549 – Elevation of Privilege уязвимость в Windows SMB Witness Service
Severity: Important
CVSS:3.1 8.8 / 7.7
Информация была ранее опубликована в публичном доступе.
Попытки эксплуатации злоумышленниками в атаках не зафиксированы.
Вторая из исправленных 0-day уязвимостей. Как и в случае с предыдущей, «Майкрософт» не публикует каких-либо технических подробностей, но заявляет, что для успешной эксплуатации необходимо сделать специальный RPC-запрос к хосту, после чего злоумышленник сможет выполнять на этом хосте RPC функции, разрешенные только для привилегированных пользователей. Признана 0-day уязвимостью, поскольку информация о ней ранее была опубликована в публичном доступе. Стоит отметить, что специалисты, обнаружившие уязвимость, считают, что никакой информации в публичном доступе не было. Попыток эксплуатации злоумышленниками не зафиксировано, в будущем они маловероятны.
Подробнее – по ссылке.
Другие важные исправления:
- CVE-2023-21743 – Security Feature Bypass уязвимость в Microsoft SharePoint Server
Severity: Critical
CVSS:3.1 5.3 / 4.6
Информация не была ранее опубликована в публичном доступе.
Попытки эксплуатации злоумышленниками в атаках не зафиксированы, но вероятны в будущем.
Уязвимость в SharePoint Server, при успешной эксплуатации которой злоумышленник сможет без предварительной аутентификации осуществить анонимное подключение к уязвимому серверу. В будущем, вероятно, будет использоваться в атаках.
Отдельно стоит отметить, что для устранения уязвимости недостаточно установить обновления безопасности. Необходимо вручную запустить обновление каждого уязвимого сервера SharePoint в инфраструктуре одним из способов:
- запустить SharePoint Products Configuration Wizard и следовать инструкциям;
- выполнить командлет PowerShell Update-SPFarm;
- выполнить команду psconfig.exe -cmd upgrade -inplace b2b.
Подробнее – по ссылке.
- CVE-2023-21763/CVE-2023-21764 – Elevation of Privilege уязвимость в Microsoft Exchange Server
Severity: Important
CVSS:3.1 7.8 / 6.8
Информация не была ранее опубликована в публичном доступе.
Попытки эксплуатации злоумышленниками в атаках не зафиксированы, в будущем они маловероятны.
Две уязвимости в Microsoft Exchange Server, являющиеся результатом некорректного исправления уязвимости CVE-2022-41123. Уязвимость заключается в статичных путях к библиотекам, зашитых в исходном коде, из-за чего злоумышленник может локально загрузить произвольные библиотеки и получить привилегии, аналогичные SYSTEM. Стоит обратить внимание на эти уязвимости, если Exchange Server используется в инфраструктуре, поскольку уязвимости, вызванные некорректным исправлением других уязвимостей, могут в будущем использоваться злоумышленниками из-за сложности их отслеживания и исправления, хотя в «Майкрософт» утверждают обратное.
Подробнее – по ссылке.
Подробнее –по ссылке.
