Microsoft устранила атакуемую уязвимость 0-day

Сентябрьский набор патчей от Microsoft включает заплатку для бреши в Планировщике заданий Windows, уже используемой в реальных атаках. Информация об уязвимости нулевого дня и PoC-код были обнародованы в конце августа.

Совокупно Microsoft устранила более 60 уязвимостей, в том числе 17 критических багов удаленного исполнения кода (RCE). Пропатчен широкий спектр продуктов, в том числе Internet Explorer, Edge, Hyper-V, компоненты Windows, Office и JavaScript-движок Chakra.

О бреши нулевого дня в Планировщике заданий (CVE-2018-8440) первым узнало Twitter-сообщество — это неприятное известие опубликовал в своем микроблоге независимый исследователь @SandboxEscaper. Уязвимость проявляется при обработке вызовов ALPC и позволяет локальному пользователю повысить привилегии до уровня SYSTEM.

Через пару дней после публикации эту брешь начала использовать в целевых атаках криминальная группа PowerPool. Согласно бюллетеню Microsoft, уязвимость CVE-2018-8440, оцененная как существенная, актуальна для всех поддерживаемых версий Windows и Windows Server.

Критические уязвимости CVE-2018-8475 (в Windows) и CVE-2018-8457 (в браузерах), а также чуть менее опасный DoS-баг CVE-2018-8409 в библиотеке System.IO.Pipelines тоже известны широкой публике, однако злоупотреблений пока не замечено.

Кроме названных брешей, внимания заслуживают два RCE-бага в системе виртуализации Windows Hyper-V. «Это две разные уязвимости, но я их рассматриваю совместно, поскольку сценарии их эксплойта, равно как и последствия, одинаковы, — подчеркнул Дастин Чайлдс (Dustin Childs) в блог-записи Zero Day Initiative, посвященной сентябрьскому «вторнику патчей». — В обоих случаях пользователь гостевой виртуальной машины может выполнить код на ОС гипервизора. Первопричиной появления этих багов является неправильная валидация данных, вводимых пользователем».

В Edge и IE совокупно закрыто 19 уязвимостей, если считать также бреши в скриптовых движках.

Комментируя новый выпуск Microsoft, эксперт Rapid7 Грег Уайзман (Greg Wiseman) особо отметил RCE-баг в графическом компоненте 32-битных Windows — CVE-2018-8332. Эту брешь, по его словам, можно использовать, убедив жертву зайти на специально созданный сайт или открыть документ со встроенным вредоносным шрифтом.

Эксперт также обратил внимание на уязвимость CVE-2018-8430 в парсере PDF-файлов, который использует Word. «Уязвимость удаленного исполнения кода проявляется в Microsoft Word, когда пользователь открывает специально созданный файл PDF, — сказано в бюллетене разработчика. — Успешный эксплойт позволяет выполнить произвольный код в контексте текущего пользователя. Чтобы проэксплуатировать уязвимость, автор атаки должен обманом заставить жертву открыть вредоносный PDF-файл».

Источник: https://threatpost.ru/microsoft-patches-three-actively-exploited-bugs-as-part-of-patch-tuesday/28199/

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *