В рамках февральского «вторника обновлений» разработчики Microsoft устранили около 80 уязвимостей в своих продуктах, включая сразу три 0-day проблемы, которые уж были взяты на вооружение хакерами.
В этом месяце девять уязвимостей были классифицированы как «критические», поскольку они позволяют удаленно выполнять на устройствах произвольный код. Из них злоумышленники нашли применение уже трем багам.
CVE-2023-21823: RCE-уязвимость удаленного выполнения кода в Windows Graphics Component, обнаруженная специалистами компании Mandiant. По данным Microsoft, эта уязвимость позволяет злоумышленникам выполнять команды с привилегиями SYSTEM.
В компании подчеркивают, что это обновление распространяется через Microsoft Store, а не через Windows Update. Поэтому для тех пользователей, которые отключили автоматическое обновление в Microsoft Store, патч не будет доставлен автоматически.
CVE-2023-21715: уязвимость в Microsoft Publisher, обнаруженная собственными специалистами Microsoft. Этот 0-day позволяет обойти запреты Office, которые которые блокируют недоверенные или вредоносные файлы и макросы, через специально подготовленный документ. Эксплуатация этой проблемы позволяет запускать макросы во вредоносном документе Publisher без предварительного предупреждения пользователя.
«Сама атака осуществляется локально, пользователем, который аутентифицирован в целевой системе, — поясняют разработчики. — Аутентифицированный злоумышленник может использовать уязвимость, убедив жертву с помощью социальной инженерии загрузить и открыть специально созданный файл, что может привести к локальной атаке на компьютер цели».
CVE-2023-23376: уязвимость повышения привилегий в Windows Common Log File System Driver, обнаруженная аналитиками Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC). Сообщается, что эта проблема позволяет злоумышленнику получить привилегии уровня SYSTEM. Подробности пока не раскрываются.
Но помимо этих проблем, которые оцениваются на 7,3-7,8 балла по шкале CVSS, стоит отметить и более опасные баги, которые еще не использовали хакеры. Например, уязвимость CVE-2023-21716 в Microsoft Office получила оценку 9,8 балла из 10 возможных и может использоваться для удаленных атак на выполнение кода через вредоносный файл RTF.
Также была исправлена проблема CVE-2023-21803, обнаруженная в составе iSCSI Discovery Service. Этот баг тоже набрал 9,8 балла по шкале CVSS и позволяет злоумышленнику добиться выполнения кода на любой 32-разрядной машине, где хакер смогут обнаружить работающий iSCSI DS.
Еще три критические ошибки были обнаружены и устранены в протоколе Microsoft Protected Extensible Authentication Protocol, который, как отмечают эксперты Trend Micro Zero Day Initiative, более не используется.
Помимо Microsoft недавно обновления для своих продуктов традиционно выпустили и другие компании, в числе которых:
- Adobe патчит критические дыры в таких продуктах, как Illustrator и After Effects. Ни одна из 28 CVE, которые компания обнаружила в своих решениях, пока не имеет активного эксплоита.
- Apple исправила уязвимость нулевого дня в WebKit, опасную для iOS и MacOS.
- SAP подготовила февральский набор патчей.
- Cisco выпустила обновления для нескольких продуктов, включая Cisco Identity Services, Cisco Broadworks и Cisco Email Security.
- Citrix выпустила обновления безопасности для Cisco Identity Services.
- Atlassian устранила критическую уязвимость в Jira Service Management Server и Data Center.
