В рамках февральского «вторника обновлений» компания Microsoft исправила 56 различных багов в своих продуктах, а также предупредила о трех опасных уязвимостях в Windows-стеке TCP/IP.
Среди исправленных ошибок была одна уязвимость нулевого дня (получившая идентификатор CVE-2021-1732), уже находившаяся под атаками. Проблему классифицировали как повышение привилегий в Win32k.
Согласно отчету китайской компании DBAPPSecurity, этот 0-day использовался группировкой Bitter, которая имеет длинный «послужной список» из атак, направленных на организации и пользователей в Пакистане и Китае. Эксперты отмечают, что злоумышленники использовали эксплоит «с осторожностью» и оставались незамеченным почти семи месяцев.
По данным исследователей, эксплоит для CVE-2021-1732 был скомпилирован еще в мае 2020 года и разрабатывался под 64-битную Windows 10 1909, хотя последующие тесты показали, что уязвимость представляет угрозу и для 64-битной Windows 10 20H2.
Также этот «вторник обновлений» содержит ряд исправлений для уязвимостей, информация о которых уже была опубликована ранее, однако их не использовали хакеры. В их числе:
- CVE-2021-1721— уязвимость .NET Core и Visual Studio, связанная с отказом в обслуживании;
- CVE-2021-1733— уязвимость Sysinternals PsExec, связанная с повышением привилегий;
- CVE-2021-26701— уязвимость .NET Core, связанная с удаленным выполнением кода;
- CVE-2021-1727— уязвимость Windows Installer, связанная с повышением привилегий;
- CVE-2021-24098— уязвимость Windows Console Drive, связанная с отказом в обслуживании;
- CVE-2021-24106— уязвимость Windows DirectX, связанная с раскрытием информации.
Кроме того, разработчики Microsoft выпустили исправления для трех критических уязвимостей в Windows-стеке TCP/IP и теперь призывают всех установить патчи как можно скорее.
Две из трех уязвимостей (CVE-2021-24074 и CVE-2021-24094) могут использоваться для удаленного выполнения произвольного кода. То есть с их помощью злоумышленники могут удаленно захватить Windows-системы. Третья и последняя ошибка (CVE-2021-24086) может спровоцировать отказ в обслуживании (DoS).
«Обе RCE-уязвимости являются сложными, что затрудняет создание функциональных эксплоитов. Поэтому они вряд ли будут использоваться в ближайшее время, — пишут аналитики Microsoft. —Мы полагаем, что злоумышленники смогут создать эксплоиты DoS-уязвимости намного быстрее, и ожидаем, что все три проблемы могут быть использованы для DoS-атак совсем скоро».