В рамках майского «вторника обновлений» компания Microsoft устранила 38 уязвимостей (плюс 11 проблем в браузере Edge) в своих продуктах, включая одну ошибки нулевого дня, которые уже активно применялись хакерами. Общее количество патчей в этом месяце стало самым низким с августа 2021 года.
Из 38 уязвимостей шесть оцениваются как критические, а еще 32 — как важные. Кроме того, восемь проблем были отмечены Microsoft как баги, эксплуатация которых весьма вероятна.
Список уязвимостей этого месяца возглавляет CVE-2023-29336 (7,8 балла по шкале CVSS), обнаруженная экспертами Avast. Эта ошибка повышения привилегий в драйвере Win32k уже активно эксплуатируется злоумышленниками.
«Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить привилегии уровня SYSTEM», — сообщили в Microsoft.
Об атаках с использованием CVE-2023-29336 пока не сообщается ничего конкретного, однако Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) уже добавило эту проблему в каталог известных эксплуатируемых уязвимостей (KEV), и призвало организации установить исправления к 30 мая 2023 года.
Avast сообщает, что CVE-2023-29336 затрагивает системы под управлением Windows 10 и Windows Server 2008, 2012 и 2016. А по информации специалистов Trend Micro Zero Day Initiative (ZDI), обычно такие уязвимости используются совместно с ошибками выполнения кода и применяются для распространения вредоносных программ.
Также в этом месяце отдельного внимания заслуживают еще две уязвимости, одна из которых представляет собой критический баг, допускающий удаленное выполнение произвольного кода и затрагивающий Windows OLE в Microsoft Outlook (CVE-2023-29325, 8,1 бала по шкале CVSS). Злоумышленник может использовать эту проблему, отправив жертве специально подготовленное электронное письмо.
В качестве защитной меры Microsoft рекомендует пользователям читать почту в текстовом формате.
Вторая уязвимость (CVE-2023-24932, 6,7 балла по шкале CVSS) связана с обходом защиты Secure Boot. Эту проблему эксплуатирует UEFI-буткит BlackLotus для последующего использования бага CVE-2022-21894, исправленного в январе 2022 года.
«Эта уязвимость позволяет злоумышленнику выполнять самоподписанный код на уровне Unified Extensible Firmware Interface (UEFI) при включенной [защите] Secure Boot, — говорится в отдельном бюллетене безопасности Microsoft, посвященном этой проблеме. — Эта уязвимость используется злоумышленниками в первую очередь как механизм сохранения и уклонения от защиты. Успешность эксплуатации зависит от того, имеет ли злоумышленник физический доступ или привилегии локального администратора на целевом устройстве».
Фактически, исправление для CVE-2023-24932 отключено по умолчанию, не является обязательным, доступно только для поддерживаемых версий Windows 10, Windows 11 и Windows Server, а применять его нужно вручную. Причем устанавливать патч нужно осторожно, иначе система вообще может перестать загружаться.
Чтобы вручную установить защиту от обхода Secure Boot, нужно выполнить следующие шаги (именно в таком порядке):
- установить обновления от 9 мая 2023 года на всех системах;
- обновить загрузочные носители с помощью обновлений Windows от 9 мая 2023 года или позже. Если вы не создаете собственный носитель, потребуется получить обновленный официальный носитель от Microsoft или производителя устройства (OEM);
- применить аннулирование для защиты от CVE-2023-24932.
Более того, это обновление не будет финальным, так как защита от CVE-2023-24932 будет внедряться в три этапа:
- 9 мая 2023 года: выпущен первоначальный патч для CVE-2023-24932. В этом выпуске исправление требует обновления Windows Security Update от 9 мая 2023 года и дополнительных действий со стороны пользователя для полной реализации защиты.
- 11 июля 2023 года: во втором выпуске будут представлены дополнительные параметры обновления, упрощающие развертывание средств защиты.
- Первый квартал 2024 года: в финальный выпуск войдет исправление CVE-2023-24932 по умолчанию, которое произведет принудительный отзыв bootmanager на всех устройствах Windows.
