Хакер #305. Многошаговые SQL-инъекции
Декабрьский «вторник обновлений» от компании Microsoft принес патчи для 36 уязвимостей, 7 их которых были признаны критическими, включая проблему нулевого дня, уже используемую злоумышленниками.
0-day проблема получила идентификатор CVE-2019-1458 и была обнаружена специалистами «Лаборатории Касперского». Исследователи рассказывают, что новая уязвимость связана с 0-day багом в браузере Chrome, который был обнаружен и исправлен в прошлом месяце.
Изучая проблему в Chrome, специалисты выдвинули предположение, что она используется в связке с какой-то другой уязвимостью, необходимой для эскалации привилегий и побега из песочницы. Дальнейшее расследование доказало верность этой теории и помогло обнаружить 0-day в Windows.Представители Microsoft сообщают, что уязвимость позволяет атакующему несанкционированно повысить права, и связана с тем, что компонент Win32k не может корректно обрабатывать объекты в памяти.
Напомню, что исследователи «Лаборатории Касперского» не смогли связать эти атаки на уязвимость с конкретной хакерской группой, но присвоили им название WizardOpium. По словам аналитиков, в коде злоумышленников есть определенные сходства с атаками группировки Lazarus, однако это вполне может быть отвлекающим маневром.
«Атаки с использованием эксплоитов под уязвимости нулевого дня требуют много ресурсов, однако они дают заметные преимущества злоумышленникам, и, как мы видим, киберпреступники с радостью хватаются за такие возможности. Число незакрытых уязвимостей нулевого дня неизменно продолжает расти, и вряд ли ситуация изменится к лучшему в ближайшее время. Так что частным и корпоративным пользователям мы рекомендуем выбирать такие технологии защиты, которые способны проактивно находить и блокировать эксплоиты под уязвимости нулевого дня. Также крайне важно оперативно устанавливать все официальные обновления ПО от производителей, а организациям стоит рассмотреть возможность использования аналитических сервисов, которые помогут им лучше ориентироваться в актуальных угрозах», – отметил Антон Иванов, руководитель отдела исследования и детектирования сложных угроз в «Лаборатории Касперского».
Помимо 0-day уязвимости в Windows инженеры Microsoft исправили и более 30 других уязвимостей в своих продуктах, включая SQL Server, Visual Studio, Skype for Business, Microsoft Office, а также службы и веб-приложения Microsoft Office. Таким образом, декабрьский «вторник обновлений» стал самым скромным в 2019 году и одним из самых «легких» за последние три года.
Среди других серьезных багов, исправленных Microsoft в этом месяце, стоит отметить CVE-2019-1468: удаленное выполнение кода в Win32k. Это классическая атака с использованием шрифтов. Так, злоумышленник встраивает файл вредоносного шрифта в веб-страницу и атакует систему пользователя, посещающего ресурс. Также к разряду критических относится уязвимость CVE-2019-1471 в Windows Hyper-V, допускающая удаленное выполнение кода на хосте с гостевой виртуальной машины.
Исправления для своих продуктов традиционно представила не только Microsoft, но и другие компании.
Так, в декабре 2019 года Adobe выпустила обновления для Acrobat, Photoshop, Brackets и ColdFusion. Большая часть исправлений предназначалась для Acrobat и Acrobat Reader, где была устранена 21 ошибка. В Photoshop были исправлены две ошибки (CVE-2019-8253 и CVE-2019-8254), касающиеся Windows и macOS. Каждый из багов потенциально мог привести к выполнению произвольного кода.
Также патчи уже опубликовали разработчики SAP, устранив семь уязвимостей, включая проблемы в составе Adaptive Server Enterprise (CVE-2019-0402), SAP BusinessObjects (CVE-2019-0395) и SAP Enable Now (CVE-2019-0405).