В рамках июньского «вторника обновлений» было исправлено 50 уязвимостей в продуктах Microsoft. Пять из них были классифицированы как критические, и еще сорок пять — как важные. Уязвимости были исправлены, в том числе, в составе Microsoft Office, .NET Core и Visual Studio, браузера Edge, криптографических службы Windows, SharePoint, Outlook и Excel.
Также были устранены шесть уязвимостей нулевого дня, уже находившихся под атаками, причем для одной из этих проблем явно использовался коммерческий эксплоит. Сообщается, что хакеры эксплуатировали следующие баги:
- CVE-2021-33742: уязвимость платформы Windows MSHTML, связанная с удаленным выполнением кода;
- CVE-2021-31955: уязвимость ядра Windows, связанная с раскрытием информации;
- CVE-2021-31956: уязвимость Windows NTFS, связанная с повышением привилегий;
- CVE-2021-31962: уязвимость, связанная с обходом защиты Kerberos AppContainer;
- CVE-2021-31199: уязвимость Microsoft Enhanced Cryptographic Provider, связанная с повышением привилегий;
- CVE-2021-31201: уязвимостьMicrosoft Enhanced Cryptographic Provider, связанная с повышением привилегий.
Подробности об уязвимостях пока не раскрываются, чтобы дать пользователям и администраторам больше времени для установки патчей (прежде чем злоумышленники массово поймут, как можно использовать эти ошибки).
Тот факт, что четыре из шести проблем являются уязвимостями повышения привилегий, предполагает, что злоумышленники могли использовать их как часть цепочки заражения, чтобы получить повышенные разрешения в целевых системах (для последующего выполнения вредоносного кода или хищения конфиденциальной информации).
Однако о баге CVE-2021-33742 (RCE-уязвимость в компоненте MSHTML, который является частью браузера Internet Explorer) известно чуть больше. Так, аналитик компании Google Шейн Хантли, пишет в Twitter, что эту проблему не просто используют для атак, но эксплоит для нее, похоже, разработан профессиональным коммерческим брокером уязвимостей. По словам эксперта, эксплоит использовался правительственными хакерами для атак на цели в Восточной Европе и на Ближнем Востоке.
More details will be on CVE-2021-33742 will come from the team, but for context this seem to be a commercial exploit company providing capability for limited nation state Eastern Europe / Middle East targeting.
— Shane Huntley (@ShaneHuntley) June 8, 2021
Также Microsoft пишет, что патчи для CVE-2021-31201 и CVE-2021-31199 связаны с RCE-проблемой CVE-2021-28550 , исправленной разработчиками Adobe в прошлом месяце.
Традиционно отметим, что «вторник обновлений» затрагивает не только решения компании Microsoft. Патчи для своих продуктов на этой неделе выпустили и другие производители.
Adobe: обнародовала обновления для десяти продуктов, устранив 39 различных багов. Первое место занял After Effects с восемью критическими уязвимостями, которые можно использовать для выполнения кода (все они имеют рейтинг 7,8 по шкале CVSS). В Acrobat и Reader устранено пять критических проблем, все из которых позволяют выполнять произвольный код, а также два критических недостатка были исправлены в Photoshop.
Intel: выпустила 29 бюллетеней безопасности, охватывающих 79 различных уязвимостей. Более половины этих проблем были выявлены внутри компании, а еще 40% — результат работы программы bug bounty.
SAP: компания представила 17 бюллетеней безопасности. Почти все исправленные баги были почти безобидными, не считая пары серьезных проблем, допускающих удаленное выполнение кода.
Android: Google устранила более 50 уязвимостей в своей мобильной ОС, в том числе несколько критических. Самая серьезная из них, CVE-2021-0507, может быть использована для удаленного выполнения кода. Баг затрагивает Android 8.1, 9, 10 и 11, равно как и другой критический недостаток, CVE-2021-0516, который может использоваться для повышения привилегий.