На этой неделе компания Microsoft выпустила октябрьский набор патчей для своих продуктов. На этот раз исправления получили Windows, продукты Office, Skype for Business, Internet Explorer, Microsoft Edge, а также движок Chackra Core.
Одним из наиболее важных патчей этого месяца стала «заплатка» для 0-day уязвимости в Office Word (Microsoft Word 2007 и выше, а также Word Automation Services и Microsoft Office Web Apps Server). RCE-баг получил идентификатор CVE-2017-11826 и был обнаружен специалистами Qihoo 360. Проблема состоит в том, что информация об этой уязвимости просочилась в сеть до выхода исправления, так что злоумышленники успели взять баг на вооружение.
Уязвимость была сопряжена с тем, как Microsoft Office работает с объектами в памяти. Атакующему было достаточно прислать своей цели специально созданный файл, после открытия которого и эксплуатации уязвимости злоумышленник получал возможность выполнить произвольный код с правами текущего пользователя.
Но это не единственная уязвимость в этом месяце, информация о которой была раскрыта до выхода исправления. Также до релиза патчей стало известно о проблемах CVE-2017-8703 (DoS в Windows Subsystem for Linux) и CVE-2017-11777 (XSS в Microsoft Office SharePoint). К счастью, эти баги не были использованы для реальных атак.
Еще один интересный патч был выпущен для уязвимости CVE-2017-11779, которую обнаружил специалист компании BishopFox Security Ник Фриман (Nick Freeman). Баг был найден в DNSAPI.dll, файле, который отвечает за отправку и получение DNS-запросов от сервера.
Проблема затрагивала DNS-клиенты в Windows 8, Windows 10, Windows Server 2012 и Windows Server 2016. Оказалось, что DNSAPI.dll некорректно обрабатывает запросы, использующие протокол DNSSEC, который является более защищенной версией обычного DNS.
Фриман объясняет, что сформировав и «скормив» уязвимому компьютеру вредоносный DNS-ответ, атакующий способен выполнить код в контексте приложения, осуществившего исходный запрос. Разумеется, для реализации подобного сценария злоумышленнику сначала нужно будет поднять собственный DNS-сервер и скомпрометировать локальную сеть своей жертвы с целью перехвата DNS-трафика, то есть осуществить man-in-the-middle атаку на месте.
Исследователь отмечает, что этот же DLL обрабатывает DNS-запросы многих базовых служб Windows, то есть «пойманный» атакующим запрос может принадлежать им, в результате чего злоумышленник сможет выполнить свой код с привилегиями системного уровня. Хуже того, кеширующий сервис DNSAPI.dll перезапускается автоматически, после каждого «падения», то есть у атакующего будет неограниченное количество попыток для выполнения эксплоита на системном уровне.
Также, говоря о "вторнике обновлений" нельзя не отметить и своеобразное достижение компании Adobe. Дело в том, что в этом месяце, впервые с 2012 года, апдейт для Flash Player не содержал ни единого обновления безопасности. В августе и сентябре компания тоже устранила лишь четыре уязвимости в своем многострадальном продукте. Впрочем, критические исправления для Flash Player нередко выходят отдельно, а октябрь еще далек от завершения.