Во вторник компания Microsoft выпустила исправления безопасности для 71 уязвимости в Microsoft Windows и другом программном обеспечении, включая исправление активно эксплуатируемой уязвимости повышения привилегий, которая может быть использована в сочетании с ошибками удаленного выполнения кода для получения контроля над уязвимыми системами.
Два устраненных недостатка безопасности имеют рейтинг критичности Critical, 68 - рейтинг Important и один - рейтинг Low, причем три из этих проблем на момент выпуска были общеизвестны. Ниже перечислены четыре «нулевых дня»:
- CVE-2021-40449 (CVSS рейтинг: 7.8) - Уязвимость повышения привилегий Win32k;
- CVE-2021-41335 (CVSS рейтинг: 7.8) - Уязвимость повышения привилегий ядра Windows;
- CVE-2021-40469 (CVSS рейтинг: 7.2) - Уязвимость удаленного выполнения кода на DNS-сервере Windows;
- CVE-2021-41338 (CVSS рейтинг: 5.5) - Уязвимость обхода функции безопасности правил брандмауэра Windows AppContainer Firewall Rules.
В начале списка находится CVE-2021-40449, уязвимость use-after-free в драйвере ядра Win32, обнаруженная Лабораторией Касперского в конце августа - начале сентября 2021 года в рамках исследования широкомасштабной кампании шпионажа, направленной на ИТ-компании, оборонных подрядчиков и дипломатические учреждения. Российская компания по кибербезопасности окрестила кластер угроз «MysterySnail».
«Схожесть кода и повторное использование CnC-инфраструктуры инфраструктуры, которую мы обнаружили, позволили нам связать эти атаки с хакером, известным как IronHusky и китайско-язычными хакерскими группами начиная с 2012 года» - заявили исследователи Касперского Борис Ларин и Костин Райю в техническом отчете. Цепочки заражения приводили к развертыванию трояна удаленного доступа, способного собирать и выкачивать системную информацию со взломанных узлов, а затем обращаться к своему CnC-серверу за дальнейшими инструкциями.
Среди других ошибок следует отметить уязвимости удаленного выполнения кода, затрагивающие Microsoft Exchange Server (CVE-2021-26427), Windows Hyper-V (CVE-2021-38672 и CVE-2021-40461), SharePoint Server (CVE-2021-40487 и CVE-2021-41344), и Microsoft Word (CVE-2021-40486), а также дефект раскрытия информации в Rich Text Edit Control (CVE-2021-40454).
Уязвимость CVE-2021-26427, которая имеет рейтинг CVSS 9.0 и была идентифицирована Агентством национальной безопасности США, подчеркивает, что «серверы Exchange являются ценными целями для хакеров, стремящихся проникнуть в бизнес-сети» - сообщил Бхарат Джоги, старший менеджер по исследованию уязвимостей и угроз в Qualys.
Октябрьский «вторничный патч» дополнен исправлениями для двух багов, недавно обнаруженных в компоненте Print Spooler - CVE-2021-41332 и CVE-2021-36970 - каждый из которых касается ошибки раскрытия информации и уязвимости спуфинга, которая была отмечена оценкой «Exploitation More Likely».
«Уязвимость спуфинга обычно указывает на то, что злоумышленник может выдать себя за другого пользователя» - отметил исследователь безопасности ollypwn в Twitter. «В данном случае, похоже, что злоумышленник может использовать службу Spooler для загрузки произвольных файлов на другие серверы».
Программные исправления от других производителей
Помимо Microsoft, исправления для устранения уязвимостей были выпущены и другими производителями, в том числе:
Источник: https://is-systems.org