В рамках мартовского «вторника обновлений» инженеры Microsoft исправили 82 уязвимости в продуктах компании. 10 из них классифицированы как критические, а 72 — как важные. Важно заметить, что сюда не включены 7 уязвимостей в Microsoft Exchange и еще 33 уязвимости в Chromium Edge, выпущенные ранее в этом месяце. Также среди устраненных багов были две уязвимости нулевого дня, одна из которых находилась под атаками.
Напомню, что ранее в этом месяце Microsoft представила внеплановые патчи для уязвимостей в коде почтового сервера Exchange. В компании предупреждали, что эти проблемы уже эксплуатируют китайские хакеры из группировки Hafnium, и вскоре к атакам подключились и другие хак-группы.
- CVE-2021-26855— SSRF-уязвимость, которая позволяла отправлять произвольные HTTP-запросы и обойти аутентификацию.
- CVE-2021-26857— проблема десериализации в службе Unified Messaging. Использование этого бага давало хакером возможность запускать код с правами SYSTEM на сервере Exchange. Для полноценной работы эксплоита требовались права администратора или другая уязвимость.
- CVE-2021-26858 — уязвимость позволяющая записывать произвольные файлы (после аутентификации в Exchange).
- CVE-2021-27065— еще одна уязвимость для записи произвольных файлов (тоже после аутентификации в Exchange).
Учитывая серьезность ситуации, помимо обычных патчей инженеры Microsoft подготовили исправления для старых и неподдерживаемых версий Exchange, а также выпустили специальный PowerShell-скрипт, предназначенный для проверки серверов Exchange на предмет взлома и известных индикаторов компрометации (веб-шеллов).
Вместе с исправлениями для багов нулевого дня эксперты подготовили и исправления для трех уязвимостей в Microsoft Exchange, которые не использовались хакерами:
- CVE-2021-26412 — проблема Microsoft Exchange, связанная с удаленным выполнением кода;
- CVE-2021-26854 — проблема Microsoft Exchange, связанная с удаленным выполнением кода;
- CVE-2021-27078 — проблема Microsoft Exchange, связанная с удаленным выполнением кода.
Теперь, уже в числе регулярных патчей, вышли исправления для двух других уязвимостей нулевого дня, одна из которых находилась под атаками. Так, в январе 2021 года специалисты Google сообщали, что хак-группа Lazarus атаковала ИБ-исследователей с использованием скомпрометированных проектов Visual Studio и ранее неизвестных эксплоитов для проблем нулевого дня.
В феврале компания Enki предупредила, что злоумышленники использовали в этих атаках 0-day в Internet Explorer для установки собственных бэкдоров. В итоге эта проблема получила идентификатор CVE-2021-26411. Как оказалась, баг был связан с повреждением информации в памяти, и теперь для него наконец вышел патч.
Еще одна уязвимость нулевого дня, исправленная на этой неделе, имеет идентификатор CVE-2021-27077 и связана с повышением привилегий в Windows Win32k. Ее еще в январе обнаружили и описали эксперты Trend Micro Zero Day Initiative, и изначально Microsoft не планировала ее исправлять.
Другие компании тоже выпустили обновления для своих продуктов на этой неделе. Среди них:
- Adobe: выпустила патчи для критических багов в Adobe Creative Cloud Desktop, Framemaker и Connect.
- Android: мартовские обновления безопасности были выпущены на прошлой неделе.
- Apple: подготовила обновления для iOS, macOS, watchOS и Safari.
- Cisco: выпустила патчи для множества продуктов.
- SAP: представила мартовский набор обновлений.
- VMware: подготовила патч для RCE-бага в составе View Planner.
