Microsoft закрыла две уязвимости, используемые в атаках

Длинный список проблем, устраняемых сентябрьским набором патчей для продуктов Microsoft, содержит две уязвимости нулевого дня, уже взятые на вооружение злоумышленниками. Им присвоены идентификаторы CVE-2019-1214 и CVE-2019-1215; первая найдена в Windows-драйвере Common Log File System (clfs.sys), вторая — в драйвере режима ядра Winsock IFS (ws2ifsl.sys). Оба бага позволяют атакующему повысить привилегии в системе.

«В обоих случаях причиной уязвимости является некорректная обработка драйвером объектов в памяти, — пишет старший разработчик-исследователь в Tenable Сатнам Наранг (Satnam Narang), отвечая на запрос Threatpost. — Авторы атак используют баги повышения привилегий после получения доступа к системе, чтобы выполнить в ней код с расширенными правами».

Дастин Чайлдс (Dustin Childs) из проекта Zero-Day Initiative компании Trend Micro рекомендует назначить заплатке для CVE-2019-1215 высший приоритет. «Эксплуатация этой уязвимости позволит злоумышленнику поднять уровень доступа с пользовательского до административного, — поясняет эксперт, разбирая сентябрьский «вторник патчей». — Microsoft признала, что злоумышленники уже активно опробуют эксплойт как на новейших, так и на более старых поддерживаемых ОС. Примечательно, что вредоносное ПО прежде уже пыталось атаковать этот файл. Подобные случаи упоминались еще в 2007 году, что неудивительно: зловреды зачастую бывают нацелены на Windows-службы низкого уровня».

Уязвимости CVE-2019-1214, со слов Microsoft, новейшие ОС не подвержены. «Хороший повод напомнить, что меньше чем через полгода Windows 7 будет снята с поддержки, а значит, в феврале уже не будет патчей для подобных багов, — комментирует Чайлдс. — Латайте системы, а после этого займитесь подготовкой апгрейда».

Суммарно Microsoft устранила в своих продуктах 79 уязвимостей, в том числе 17 критических. Из последних эксперты советуют обратить внимание на четыре бага в клиенте удаленного рабочего стола (CVE-2019-1290, CVE-2019-1291, CVE-2019-0787, CVE-2019-0788). Они дополняют коллекцию, в которую уже входят пропатченный в мае BlueKeep и августовские уязвимости, получившие известность как DejaBlue.

«В отличие от BlueKeep и DejaBlue, где атака нацелена на уязвимый сервер удаленного рабочего стола, эти уязвимости требуют, чтобы атакующий убедил пользователя подключиться к вредоносному серверу удаленного рабочего стола, — поясняет Наранг. — Автор атаки может также взломать уязвимый сервер, разместить на нем вредоносный код и ждать, когда пользователи начнут устанавливать соединение».

Девять критических багов предполагают атаки через браузер. В равной мере опасна уязвимость в Azure DevOps (ADO) и Team Foundation Server (TFS) (CVE-2019-1306), позволяющая выполнить на сервере код на правах законного пользователя ADO или TFS. «Автору атаки понадобится разрешение на загрузку файла в целевое хранилище, — пишет Чайлдс. — В случае успеха ему удастся выполнить код, как только уязвимый сервер проиндексирует этот файл».

Три критические уязвимости в службе подключения к бизнес-данным Microsoft SharePoint связаны с ошибками десериализации. В своей блог-записи Чайлдс уделил внимание лишь одной из них, CVE-2019-1257. «В этом случае автор атаки сможет исполнить свой код в контексте пользователя пула приложений, загрузив на уязвимый сервер специально созданный пакет приложения SharePoint, — отметил исследователь. — Обычно для загрузки такого пакета требуется авторизация, но можно попытаться включить анонимный доступ».

Уязвимость CVE-2019-1280 в Windows связана с обработкой lnk-файлов. «Злоумышленник может предложить пользователю съемный носитель или удаленный совместно используемый ресурс, содержащий вредоносный файл .LNK и ассоциированный с ним вредоносный бинарный код, — сказано в бюллетене Microsoft. — Когда пользователь откроет носитель (или удаленную общую папку) в Проводнике Windows или любом другом приложении, выполняющем парсинг lnk-файлов, вредоносный бинарник выполнит код в целевой системе по выбору атакующего».

Разработчик также обновил служебный стек для всех операционных систем (ADV990001). «Обычно такие обновления выходят для одного или двух выпусков Windows, но на этот раз затронуты все ОС Windows, — заявил директор по управлению продукцией Ivanti Крис Гётль (Chris Goettl) в комментарии для Threatpost. — Подобные обновления оцениваются как критические, однако уязвимостей они не устраняют и никогда не входят в состав накопительных обновлений. В то же время они критически важны для системы обновления, встроенной в ОС Microsoft, а значит, для всей линейки грядут изменения, и в какой-то момент обновление Windows станет невозможным без обновления пакета Servicing Stack».

Источник: https://threatpost.ru/microsoft-addresses-two-zero-days-under-active-attack/34061/