Разработчики компании Microsoft выпустили октябрьские патчи для своих продуктов. В общей сложности в этом месяце были исправлены более 80 уязвимостей, включая баги активно используемые хакерами. Тем не менее, патчей для свежих проблем в Exchange, которые носят название ProxyNotShell, по-прежнему нет.
Среди уязвимостей этого месяца 15 оценены как критические (допускают повышение привилегий, спуфинг или удаленное выполнение кода), и еще 69 — как важные. Также стоит отметить, что отдельные 12 проблем были устранены в браузере Edge.
В рамках октябрьского «вторника обновлений» компания исправила сразу две уязвимости нулевого дня, одну из которых активно использовали хакеры, а информация о другой была публично доступна до релиза патча.
Первый 0-day, о котором разработчиков уведомил анонимный исследователь, получил идентификатор CVE-2022-41033 (7,8 балла по шкале CVSS) и связан с повышением привилегий в Windows COM+ Event System Service.
«Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить привилегии уровня System», — предупреждают разработчики.
Второй 0-day, информация о котором была раскрыта до выхода патча, это проблема CVE-2022-41043 (3,3 балла по шкале CVSS), связанная с раскрытием информации в Microsoft Office. Баг обнаружил специалист из компании SpecterOps. Microsoft объясняет, что злоумышленники могут использовать эту уязвимость для получения доступа к токенам аутентификации пользователей.
При этом самой опасной проблемой, исправленной в октябре, можно назвать CVE-2022-37968 , связанную с повышением привилегий в Azure Arc Connect. Эта уязвимость получила максимальные 10 баллов из 10 возможных по шкале CVSS. Баг связан с функцией подключения к кластеру в кластерах Kubernetes с поддержкой Azure Arc и может использоваться неаутентифицированным злоумышленником для получения контроля над кластером на уровне администратора.
Также следует отметить, что, к сожалению, среди патчей этого месяца нет исправлений для проблем ProxyNotShell (CVE-2022-41040 и CVE-2022-41082), которые были обнаружены еще в прошлом месяце. Напомню, что эти баги в Exchange уже некоторое время находятся под атаками, а Microsoft предлагает администраторам только обходные пути для временного решения проблемы. К тому же, защитные рекомендации компании менялись уже несколько раз, так как ИБ-исследователи продолжают обнаруживать, что эти меры можно с легкостью обойти.
Увы, представители Microsoft не указывают сроки, когда пользователи могут ожидать релиза исправлений для Exchange Server.
Также на этой неделе обновления для своих продуктов выпустили и другие компании. Так, патчи и исправления представили:
- Apple выпустила iOS 16.0.3 с исправлением DoS-уязвимости в Mail;
- Adobe патчит 29 уязвимостей, включая баги, ведущие к выполнению произвольного кода, произвольной записи в файловую систему, обходу защитных функций и повышению привилегий;
- Cisco опубликовала обновления безопасности для ряда своих продуктов;
- Fortinet выпустила патчи для активно эксплуатируемой уязвимости обхода аутентификации;
- Google представила октябрьские обновления безопасности для Android;
- SAP выпустила патчи для ряда решений;
- VMware опубликовала обновления для устранения уязвимостей VMware ESXi и vCenter Server.