Хакер #305. Многошаговые SQL-инъекции
В этом месяце, в рамках традиционного «вторника обновлений» компания Microsoft исправила более 120 уязвимостей. Одной из самых серьезных проблем стала уязвимость нулевого дня DogWalk (CVE-2022-34713, 7,8 балла по шкале CVSS), которая приводит к удаленному выполнению произвольного кода и уже находится под атаками.
В общей сложности в августе была исправлена 121 уязвимость, 17 из которых получили статус критических, поскольку позволяют удаленно выполнять код или повышать привилегии.
DogWalk
Наиболее серьезной среди исправленных проблем определенно можно назвать уязвимость CVE-2022-34713, которой исследователи дали название DogWalk. Этот баг связан с Microsoft Windows Support Diagnostic Tool (MSDT) и уже используется злоумышленниками, которые обманом заставляют пользователей открывать специально созданные файлы, что в итоге ведет к выполнению кода. Проблема влияет на все поддерживаемые версии Windows, включая последние версии Windows 11 и Windows Server 2022.
Интересно, что исходно баг CVE-2022-34713 был найден еще в январе 2020 года ИБ-специалистом Имер Радом (Imre Rad), однако тогда в Microsoft сообщили, что обнаруженный баг не является проблемой безопасности.
Недавно эта ошибка была обнаружена снова, и на этот раз о ней сообщил специалист, известный под ником j00sean. Потом для бага и вовсе появился неофициальный патч, и в компании наконец решили обратить внимание на происходящее.
Теперь в Microsoft подчеркивают, что хотя эту уязвимость и могут эксплуатировать неаутентифицированные злоумышленники, для успешной атаки все же нужно взаимодействие с пользователем: нужно вынудить жертву открыть вредоносное вложение из письма или кликнуть пол ссылке для загрузки и запуска вредоносного файла.
Если атака удалась, злоумышленник получит возможность устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи в контексте текущего пользователя.
Exchange
Также стоит отметить, что в рамках этого «вторника обновлений» была устранена еще одна 0-day уязвимость, однако ее пока не эксплуатировали хакеры. Речь идет о проблеме CVE-2022-30134 (7,6 балла по шкале CVSS), которая связана раскрытием информации в Microsoft Exchange и позволяет атакующим читать чужие электронные письма.
При этом инженеры Microsoft объясняют, что некоторые баги в Exchange, исправленные в этом месяце, потребуют не только установки патчей. Администраторами также придется вручную включить расширенную защиту (Extended Protection, EP) на уязвимых серверах, которая расширяет возможности аутентификации в Windows Server и защищает от атак типа man-in-the-middle и authentication relay.
Такие меры придется предпринять из-за проблем CVE-2022-21980, CVE-2022-24477 и CVE-2022-24516, которые могут использоваться для повышения привилегий, если удастся обманом вынудить пользователя посетить вредоносный сервер (с помощью фишинговых писем или сообщений).
Для включения EP компания представила специальный скрипт. Впрочем, перед его активацией администраторам рекомендуют тщательно оценить свою среду и изучить вероятные проблемы, упомянутые в документации.
Прочее
Еще две критические проблемы, связанные с удаленным выполнением кода в Windows Point-to-Point Protocol, CVE-2022-30133 и CVE-2022-35744, получили 9,8 балла из 10 возможных по шкале CVSS. Однако в Microsoft уверяют, что их можно использовать только при обмене данными через порт 1723. То есть в качестве временной меры защиты подойдет даже простая блокировка трафика через этот порт.
Также нужно сказать, что обновления для своих продуктов выпустила не только Microsoft. Так, в августе 2022 года вышли другие немаловажные патчи, включая исправления для многих продуктов Cisco, SAP и VMware, а также августовские обновления для Android и патчи Adobe, закрывающие RCE-уязвимости в Acrobat и Reader.