Первый «вторник обновлений» этой осени принес исправления более чем для 80 уязвимостей в решениях Microsoft: 66 уязвимостей в различных продуктах, включая Azure, Office, SharePoint Server, Windows, Windows DNS и Windows Subsystem for Linux, а также еще 20 ошибок в составе Chromium в Microsoft Edge.
Лишь три проблемы в этом месяце были отнесены к категории критических. Одна из этих уязвимостей, CVE-2021-40444, это уже известный 0-day в Microsoft MHTML (он же Trident), проприетарном движке браузера Internet Explorer. Ранее сообщалось, что проблема уже используется в реальных атаках на пользователей Office 365 и Office 2019 в Windows 10, а вскоре стало известно, что для нее доступны публичные и простые в использовании эксплоиты.
Напомню, что уязвимость затрагивает Windows Server 2008-2019 и Windows 8.1-10 (8,8 баллов из 10 по шкале CVSS). Хотя MHTML в основном использовался для браузера Internet Explorer, этот компонент также применяется в приложениях Office для рендеринга размещенного в интернете контента внутри документов Word, Excel и PowerPoint.
Как объясняли представители Microsoft, при помощи этого бага злоумышленник может создать вредоносный компонент ActiveX, который будет использоваться документом Microsoft Office и обрабатываться MHTML. По сути, злоумышленнику придется лишь убедить пользователя открыть такой вредоносный файл, после чего атаку можно считать удавшейся. Кроме того, ИБ-эксперты предупреждали, что использовать уязвимость можно и при помощи файлов RTF, а также заметили, что баг можно было эксплуатировать даже через превью документов в Проводнике.
Хотя теперь патчи доступны, некоторые эксперты пишут, что эта защита может не продержаться долго. По их мнению, ошибка так глубоко укоренилась в ядре Office, что злоумышленники смогут найти новые способы злоупотребления проблемой, как это недавно было с уязвимостями PrintNightmare, речь о которых пойдет ниже.
Летом текущего года под название PrintNightmare был объединен целый класс уязвимостей (CVE-2021-1675, CVE-2021-34527 и CVE-2021-36958), влияющих на службу диспетчера очереди печати Windows (Print Spooler), драйверы печати и функцию Windows Point and Print.
Microsoft уже выпускала патчи для CVE-2021-1675 и CVE-2021-34527 в июле и августе текущего года, однако исследователи обнаружили, что проблемы все еще не устранены до конца, и злоумышленники по-прежнему могут получить привилегии уровня System, просто подключившись к удаленному серверу печати. Этой проблеме был присвоен идентификатор CVE-2021-36958. В итоге весь этот комплекс уязвимостей взяли на вооружение вымогательские группировки.
Сегодня Microsoft наконец выпустила патч и для последнего бага в череде PrintNightmare — CVE-2021-36958. Разработчик Mimikatz Бенджамин Делпи, ранее обнаруживавший и доказывавший неэффективность патчей, на этот раз подтвердил, что проблема устранена.
#printnightmare patch tuesday looks like promising pic.twitter.com/OjwCL79Io9
— ? Benjamin Delpy (@gentilkiwi) September 14, 2021
Кроме того, Делпи сообщил изданию Bleeping Computer, что с сентябрьскими обновлениями Microsoft отключила функцию CopyFiles по умолчанию и добавила в ОС недокументированную групповую политику, которая позволяет администраторам снова включить ее. Эту политику можно найти в реестре Windows (HKLM\Software\Policies\Microsoft\Windows NT\Printers) под именем CopyFilesPolicy . Если установлено значение «1», CopyFiles заработает снова.
Журналисты отмечают, что это изменение влияет на поведение Windows по умолчанию, и пока неясно, какие проблемы оно может повлечь за собой при печати. Пока Microsoft не опубликовала никакой информации о новой групповой политике.
