Последний «вторник обновлений» в этом году принес патчи для 49 уязвимостей в продуктах Microsoft. В числе прочего, разработчики исправили две уязвимости нулевого дня, одна из которых уже использовалась злоумышленниками.
Среди 49 исправленных в этом месяце багов шесть были классифицированы как «критические», поскольку допускают удаленное выполнение кода. Среди других уязвимостей:
- 19 проблем повышения привилегий;
- 2 проблемы, связанные с обходом защитных функций;
- 23 проблемы удаленного выполнения кода;
- 3 проблемы связаны с раскрытием информации;
- 3 проблемы связаны отказом в обслуживании;
- 1 проблема допускает спуфинг.
Что касается 0-day уязвимостей, наиболее опасной из них стала CVE-2022-44698 (5,4 балла по шкале оценки уязвимостей CVSS), связанная с обходом защитной функции Windows SmartScreen, и обнаруженная известным ИБ-экспертом Уиллом Дорманном (Will Dormann).
«Злоумышленник может создать вредоносный файл и с его помощью обойти защиту Mark of the Web (MOTW), что приведет к ограниченной потере целостности и доступности таких защитных механизмов, как Protected View в Microsoft Office, которые полагаются на метки MOTW», — объясняют специалисты.
Злоумышленники уже эксплуатировали эту уязвимость, создавая вредоносные файлы JavaScript, подписанные с использованием искаженной подписи. Благодаря этому SmartCheck сообщал об ошибке и не отображал предупреждения Mark of the Web, что позволяло запускать вредоносные скрипты и автоматически устанавливать малварь. Известно, что хакеры злоупотребляли этим багом для распространения трояна QBot и вымогателя Magniber.
Стоит сказать, что Уилл Дорманн писал в Twitter об уязвимостях такого типа начиная с июля текущего года. Вероятно, новый баг связан с другой MOTW-ошибкой, которую Microsoft исправила в прошлом месяце.
Вторая 0-day уязвимость этого месяца, CVE-2022-44710 (7,8 балла по шкале оценки уязвимостей CVSS), представляет собой уязвимость графического ядра DirectX, связанную с повышением привилегий и обнаруженную ИБ-экспертом Лукой Прибаничем (Luka Pribanić).
Сообщается, что атакующий, успешно воспользовавшийся этой уязвимостью, может получить привилегии уровня SYSTEM.
Также на этой неделе обновления для своих продуктов выпустили и другие компании:
- Adobe исправила 37 багов в своих решениях, включая Illustrator, Experience Managerи Campaign Classic. Ни одна из уязвимостей не использовалась хакерами.
- SAP выпустила 22 исправления. Самая серьезная проблема (Security Note 2622660) получила 10 балов из 10 возможных по шкале CVSS и представляет собой обновление для патча от апреля 2018 года, которое исправляет Google Chromium, поставляемый в составе SAP Business Client.
- VMware опубликовала два критически важных бюллетеня безопасности и еще один, который считается важным. В частности, исправлен баг CVE-2022-31705 — критическая уязвимость записи за пределы хипа в VMware ESXi, Workstation и Fusion (9,3 балла по шкале CVSS).
- Cisco исправила ряд уязвимостей, включая «дыру» в веб-интерфейсе Cisco Identity Services Engine (ISE), CVE-2022-20822 (7,1 балл по шкале CVSS). Баг позволял аутентифицированному злоумышленнику просматривать, загружать и удалять файлы на зараженном устройстве.
- Citrix выпустила обновление для критической и активно эксплуатируемой RCE-уязвимости в Citrix ADA и Gateway.
- Fortinet представила патч для уязвимости SSL-VPN в FortiOS, так же находившейся под атаками.