Февральский «вторник обновлений» стал крупнейшим для Microsoft за долгое время: в его рамках было устранено почти 100 различных багов, включая 0-day уязвимость в Internet Explorer, которая уже находилась под атаками, и еще 11 критических проблем.
Напомню, что еще в январе 2020 года компания Microsoft сообщила об уязвимости нулевого дня в браузере Internet Explorer, которую злоумышленники уже использовали для «ограниченных целевых атак». Проблема получила идентификатор CVE-2020-0674 и была связана с уязвимостью в браузере Firefox, о которой тоже стало известно в январе. Судя по всему, упомянутые «ограниченные атаки» являлись частью более крупной хакерской кампании, которая также включала в себя атаки на пользователей Firefox.
Проблема была связана с работой скриптового движка IE и нарушением целостности информации памяти. Эксплуатация уязвимости позволяет злоумышленнику выполнить произвольный код в контексте текущего пользователя. Для этого достаточно заманить пользователя IE на вредоносный сайт.
Теперь, когда для CVE-2020-0674 выпущен официальный патч, Microsoft сообщает, что проблема была исходно обнаружена специалистами Google Analytics Group и китайскими экспертами из Qihoo 360. Тогда как Google не опубликовала никакой информации об эксплуатации бага, Qihoo 360 сообщает, что проблему использует хак-группа DarkHotel, которую многие исследователи связывают с Северной Кореей.
Информация еще о четырех уязвимостях, получивших патчи в этом месяце, была публично раскрыта еще до выхода исправлений (впрочем ни одна из этих проблем не использовалась для атак): это две ошибки повышения привилегий в Windows Installer (CVE-2020-0683 и CVE-2020-0686), обход защиты в Secure Boot (CVE-2020-0689) и уязвимость, допускающая раскрытие информации в браузерах Edge и IE (CVE- 2020-0706).
Большинство критических проблем этого месяца — это RCE-уязвимости и баги связанные с нарушением целостности информации в памяти. Исправления для таких недочетов получили скриптовый движок Chakra, компонент Media Foundation, файлы LNK и так далее.
Отдельно стоит выделить проблемы, обнаруженные в составе Remote Desktop: две RCE-уязвимости допускали удаленное выполнение произвольного кода на клиентской стороне (CVE-2020-0681 и CVE-2020-0734).
Также еще одна проблема удаленного выполнения произвольного кода (CVE-2020-0688) была исправлена в Exchange, причем эксплуатировать ее можно было при помощи вредоносных писем.