Хакер #305. Многошаговые SQL-инъекции
На этой неделе компания Microsoft выпустила мартовский набор патчей и устранила три уязвимости нулевого дня, в общей сложности исправив 71 уязвимость в своих продуктах (не считая 21 уязвимость в Microsoft Edge).
Одна из наиболее серьезных проблем этого месяца — RCE-уязвимость в Microsoft Exchange Server, получившая идентификатор CVE-2022-23277. Сообщается, что благодаря этому багу аутентифицированный пользователь может «запустить вредоносный код в контексте учетной записи сервера посредством сетевого вызова». Эксперты Sophos Lab отмечают:
«Учитывая картину, которую мы недавно наблюдали в отношении атак на другие уязвимости Exchange, критическая степень серьезности и характер этой уязвимости делают эту ее требующей исправления как можно скорее».
Два других критических RCE-бага, исправленные в этом месяце, затрагивают Microsoft Video Extensions. Один из них, CVE-2022-24501, обнаружен в приложении VP9 Video Extensions, доступном в Microsoft Store. Злоумышленник может убедить пользователя открыть вредоносный видеофайл, что в итоге приведет к выполнению кода, спрятанного в видео. Точно так же CVE-2022-22006 представляет собой уязвимость удаленного выполнения кода в HEVC Video Extensions, которую можно использовать аналогичным образом.
Кроме того Microsoft выпустила исправления для ряда других продуктов, включая Office, Windows, Internet Explorer, Defender и Azure Site Recovery. Эксперты Zero Day Initiative, которые традиционно опубликовали разбор исправленных багов, выделяют среди них следующие:
- CVE-2022-21990: удаленное выполнение кода. Можно захватить чужой ПК через RDP-клиент при подключении к вредоносному серверу. Подробности об этой уязвимости уже общедоступны и, по мнению Zero Day Initiative, ошибку следует рассматривать как критическую.
- CVE-2022-24508: удаленное выполнение кода. Аутентифицированный пользователь может выполнять вредоносный код в Windows 10 версии 2004 и более поздних через SMBv3. Эту проблему эксперты тоже советуют считать критической.
- CVE-2022-24512: удаленное выполнение кода в .NET и Visual Studio. Подробности об ошибке общедоступны.
Также следует отметить, что обновления для своих продуктов представили и другие крупнее компании, в том числе:
- Google представила мартовские обновления безопасности для Android;
- Cisco выпустила обновления для многих продуктов, включая Cisco Cisco FXOS и NX-OS, StarOS и Cisco Application Policy Infrastructure Controller;
- Adobe исправила уязвимости, связанные с выполнением произвольного кода и утечкой памяти.