В этом месяце инженеры Microsoft устранили сразу 77 уязвимостей в продуктах компании, 14 из которых были оценены как критические, а еще 62 как важные. Две из этих проблем (CVE-2019-0880 и CVE-2019-1132) уже использовались хакерами. Оба бага позволяли повысить привилегии в системе.
Наиболее важной из двух исправленных 0-day уязвимостей определенно является CVE-2019-1132, допускающий повышение привилегий через компонент Win32k. Проблему обнаружили эксперты компании ESET, когда хакеры использовали ее для таргетированных атак на различные цели в Восточной Европе. Исследователи полагают, что за этими атаками стояла хорошо известная русскоязычная хак-группа Buhtrap, впервые замеченная еще в 2014 году. Интересно, что до недавнего времени Buhtrap не использовала эксплоиты для уязвимостей нулевого дня в Windows и лишь применяла решения, разработанные другими злоумышленниками, когда сами уязвимости уже были закрыты.
Сейчас ИБ-эксперты активно строят теории о том, как именно в руки Buhtrap попала информация о 0-day проблеме. Так, Костин Райю из «Лаборатории Касперского» и Тэвис Орманди из Google Project Zero сходятся во мнении, что группировка приобрела информацию о проблеме и эксплоит для нее у третьих лиц. К примеру, Райю полагает, что продавцом мог выступать известный на черном рынке эксплоит-брокер Володя.
Sounds like another Volodya exploit, doesn’t it?
— Costin Raiu (@craiu) July 10, 2019
Interesting, another win32k NULL deref perhaps? It seems like people might be selling their old exploit inventory cheap, because we're pushing up against the EOL date. ?♂️
— Tavis Ormandy (@taviso) July 9, 2019
Вторая исправленная в этом месяце уязвимость нулевого дня — CVE-2019-0880. Проблема тоже позволяет повысить привилегий в системе, но через компонент splwow64.exe. Эту уязвимость обнаружили специалисты компании Resecurity, но к настоящему моменту еще нет никаких подробностей о том, кто и как именно эксплуатировал этот баг. Известно лишь, что уязвимость представляет угрозу для Windows 10, 8.1, Server 2012, Server 2016, Server 2019, Server 1803 и 1903.
Помимо вышеобозначенных проблем нулевого дня, Microsoft исправила и шесть других уязвимостей, подробности о которых стали общеизвестны до выхода патчей, и теоретически эти баги могли использоваться злоумышленниками (но пока таких атак зафиксировано не было) .
- CVE-2018-15664 (эскалация привилегий в Docker);
- CVE-2019-0865(SymCrypt DoS);
- CVE-2019-0887 (RDP RCE);
- CVE-2019-0962(эскалация привилегий в Azure Automation);
- CVE-2019-1068(Microsoft SQL Server RCE);
- CVE-2019-1129(эскалация привилегий в Windows).
Также на этой неделе обновления для своих продуктов выпустили и другие компании, включая Adobe и SAP. Этот месяц примечателен тем, что впервые за долгое время ни Flash, ни Acrobat/Reader не получили никаких патчей. Вместо этого разработчики Adobe представили исправления для уязвимостей в Adobe Bridge CC, Adobe Experience Manager и Adobe Dreamweaver.
Кроме того, стоит отметить, что в рамках июльского «вторника обновлений» важные обновления представили и разработчики Intel. Так, инженеры компании устранили критическую уязвимость CVE-2019-11133, затрагивавшую диагностический инструмент Processor Diagnostic Tool и набравшую 8,2 балла по шкале CVSS 3.0. Также еще один баг представлял угрозу для SSD серий DC S4500/S4600 и позволял повысить привилегии в системе.
