Декабрьские патчи от Microsoft

В минувший вторник Microsoft выпустила заплатки для 34 брешей; 20 из них оценены как критические, 12 — как существенные. В рамках декабрьского «вторника патчей» разработчик залатал Internet Explorer, Microsoft Edge, Windows, Microsoft Office, SharePoint и Exchange.

Особого внимания заслуживают патчи для двух уязвимостей в антивирусном движке Malware Protection Engine (MPE) — CVE-2017-11937 и CVE-2017-11940. Об этих  багах удаленного исполнения кода интернет-сообщество узнало на прошлой неделе благодаря исследователям из британского Национального центра кибербезопасности (NCSC). «Уязвимости в MPE затрагивают также Exchange Server, поэтому администраторам бэкендов будет чем заняться в этом месяце», — отметил Грег Уайзман (Greg Wiseman), старший специалист по ИБ в Rapid7.

«Самым значительным явлением месяца являются баги в Internet Explorer, — заявил Крис Гётль (Chris Goettl), менеджер по продукции Ivanti. — Более половины уязвимостей в этом месяце затрагивают IE и Edge». И действительно, декабрьский набор обновлений для продуктов Microsoftустраняет более 20 багов порчи памяти в скриптовых движках, используемых обоими браузерами.

Одна из этих брешей (CVE-2017-11907) вызвана некорректностью доступа к объектам в памяти и грозит удаленным исполнением кода. «Злоумышленник может создать специальный сайт для эксплуатации данной уязвимости через Internet Explorer и вынудить пользователя посетить этот сайт», — пишет Microsoft в бюллетене. В случае успеха автор атаки получает права текущего пользователя.

«Чтобы убедить пользователя зайти на вредоносную страницу или легитимный, но скомпрометированный сайт (например, в рамках watering-hole атаки), в большинстве случаев особых ухищрений не потребуется, — говорит Уайзман. — Если жертва при веб-серфинге использует непропатченный Internet Explorer или Edge, автор атаки сможет выполнить произвольный код. Если пользователь при этом обладает правами администратора — пиши пропало, атакующий получит полный контроль над системой».

Эксперты рекомендуют также как можно скорее применить патч для RCE-уязвимости в Excel (CVE-2017-11935), актуальной для пакета Microsoft Office 2016. Согласно описанию, данная брешь возникла «из-за неправильной обработки приложением Microsoft Office объектов в памяти при разборе специально созданных файлов». Чтобы ею воспользоваться, удаленный злоумышленник должен убедить пользователя открыть вредоносный файл.

«Эта уязвимость позволяет получить полный контроль над системой, — отметил Гётль. — Для этого лишь нужно, чтобы кто-то открыл вложение или зашел на специально созданный сайт и скачал некий контент. В наши дни все очень быстро кликают по ссылкам, и пользователи — по-прежнему самое слабое звено в обороне. Эта уязвимость — пожалуй, самый вероятный кандидат на эксплойт в текущем месяце».

Участники проекта Zero Day Initiative советуют обратить внимание на грозящую раскрытием информации брешь в Windows (CVE-2017-11927). «Этот баг возвращает нас в те времена, когда появились Internet Explorer и файлы CHM (HTML сжатого формата), — пишут исследователи в блоге ZDI. — Патч для него устраняет возможность раскрытия информации, присутствующую в обработчике протокола its:// на Windows». (ITS в данном случае расшифровывается как InfoTech Storage Format — формат хранения, используемый в CHM-файлах; Internet Explorer использует несколько its-обработчиков для доступа к компонентам внутри CHM-файлов.)

Microsoft характеризует CVE-2017-11927 как уязвимость, проявляющуюся, когда обработчик протокола its:// «неоправданно направляет трафик на удаленный сайт, чтобы определить зону предоставленного URL». В этом случае конфиденциальная информация пользователя может стать известной злоумышленнику, контролирующему сайт. «Если автору атаки удалось заставить пользователя раскрыть хеш NTLM, он сможет получить соответствующий пароль посредством брутфорса», — поясняет Microsoft.

По данным разработчика, ни одна из ныне закрываемых уязвимостей не была опубликована или использована в реальных атаках.