В первый «вторник обновлений» компания Microsoft выпустила патчи для 98 различных уязвимостей, среди которых была и одна проблема нулевого дня, уже взятая на вооружение хакерами.
Первый 0-day баг в этом году получил идентификатор CVE-2023-21674 (8,8 балла по шкале CVSS) и был выявлен экспертами антивирусной компании Avast. Известно, что он использовался злоумышленниками в реальных атаках для повышения привилегий до уровня SYSTEM и побега из песочницы браузера.
К сожалению, Microsoft традиционно не сообщает никаких деталей об эксплуатации уязвимости и самих атаках: пока компания не опубликовала даже индикаторы компрометации или какие-либо другие сведения, которые могли бы помочь ИБ-специалистам обнаружить признаки компрометации.
«Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить системные привилегии», — лаконично сообщили в Microsoft, отметив, что ошибка связана с компонентом Windows Advanced Local Procedure Call (ALPC).
Также Microsoft обратила отдельное внимание на проблему CVE-2023-21549, связанную с повышением привилегий в Windows SMB Witness Service. В компании предупредили, что технические подробности этой уязвимости были раскрыты публично еще до выхода патча. Интересно, что специалисты Akamai, обнаружившие этот баг, это отрицают.
Чтобы воспользоваться этой уязвимостью, злоумышленник может выполнить вредоносный скрипт, который выполняет RPC-вызов к хосту RPC. В итоге это может привести к повышению привилегий на сервере.
Среди прочих интересных уязвимостей можно отметить CVE-2023-21743, ошибку обхода защиты в Microsoft Sharepoint Server. Разработчики считают, что эту уязвимость с наибольшей вероятностью будут использовать хакеры, и отмечают, что она может позволить неаутентифицированному злоумышленнику установить анонимное соединение.
Помимо Microsoft на этой неделе обновления для своих продуктов выпустили и другие компании:
- Adobe выпустила исправления для 29 уязвимостей в таких продуктах, как Acrobat и Reader, InDesign, InCopy и Dimension. Ни одна из уязвимостей не использовалась хакерами.
- SAP выпустила 12 новых и обновленных патчей. Оказалось, что уязвимость Capture-Replay в архитектуре trusted-trusting сценариев RFC и HTTP позволяет злоумышленникам получать незаконный доступ к системам SAP.
- Cisco представила обновления для телефонов Cisco IP Phone 7800 и 8800, затронутых 0-day уязвимостью.
- Citrix выпустила обновления безопасности для Cisco Identity Services.
- Intel представила патч для серьезной ошибки в oneAPI Toolkits, которая позволяла повысить привилегии и получила идентификатор CVE-2022-4019.
- Android в январе получил исправления более чем для 50 проблем, но ни один из багов не использовался хакерами.