В рамках мартовского «вторника обновлений» инженеры Microsoft исправили 82 уязвимости в продуктах компании. 10 из них классифицированы как критические, а 72 — как важные. Важно заметить, что сюда не включены 7 уязвимостей в Microsoft Exchange и еще 33 уязвимости в Chromium Edge, выпущенные ранее в этом месяце. Также среди устраненных багов были две уязвимости нулевого дня, одна из которых находилась под атаками.

Напомню, что ранее в этом месяце Microsoft представила внеплановые патчи для уязвимостей в коде почтового сервера Exchange. В компании предупреждали, что эти проблемы уже эксплуатируют китайские хакеры из группировки Hafnium, и вскоре к атакам подключились и другие хак-группы.

  • CVE-2021-26855— SSRF-уязвимость, которая позволяла  отправлять произвольные HTTP-запросы и обойти аутентификацию.
  • CVE-2021-26857—  проблема десериализации в службе Unified Messaging. Использование этого бага давало хакером возможность запускать код с правами SYSTEM на сервере Exchange. Для полноценной работы эксплоита требовались права администратора или другая уязвимость.
  • CVE-2021-26858  —  уязвимость позволяющая записывать произвольные файлы (после аутентификации в Exchange).
  • CVE-2021-27065— еще одна уязвимость для записи произвольных файлов (тоже после аутентификации в Exchange).

Учитывая серьезность ситуации, помимо обычных патчей инженеры Microsoft подготовили исправления для старых и неподдерживаемых версий Exchange, а также выпустили специальный PowerShell-скрипт, предназначенный  для проверки серверов Exchange на предмет взлома и известных индикаторов компрометации (веб-шеллов).

Вместе с исправлениями для багов нулевого дня эксперты подготовили и исправления для трех уязвимостей в Microsoft Exchange, которые не использовались хакерами:

  • CVE-2021-26412 — проблема Microsoft Exchange, связанная с удаленным выполнением кода;
  • CVE-2021-26854 — проблема Microsoft Exchange, связанная с удаленным выполнением кода;
  • CVE-2021-27078 — проблема Microsoft Exchange, связанная с удаленным выполнением кода.

Теперь, уже в числе регулярных патчей, вышли исправления для двух других уязвимостей нулевого дня, одна из которых находилась под атаками. Так, в январе 2021 года специалисты Google сообщали, что хак-группа Lazarus атаковала ИБ-исследователей с использованием скомпрометированных проектов Visual Studio и ранее неизвестных эксплоитов для проблем нулевого дня.

В феврале компания Enki предупредила, что злоумышленники использовали в этих атаках 0-day в Internet Explorer для установки собственных бэкдоров. В итоге эта проблема получила идентификатор CVE-2021-26411. Как оказалась, баг был связан с повреждением информации в памяти, и теперь для него наконец вышел патч.

Еще одна уязвимость нулевого дня, исправленная на этой неделе, имеет идентификатор CVE-2021-27077 и связана с повышением привилегий в Windows Win32k. Ее еще в январе обнаружили и описали эксперты Trend Micro Zero Day Initiative, и изначально Microsoft не планировала ее исправлять.

Другие компании тоже выпустили обновления для своих продуктов на этой неделе. Среди них:

Оставить мнение