В рамках августовского «вторника обновлений» компания Microsoft устранила 87 уязвимостей в своих продуктах, две их которых уже использовали хакеры. Кроме того, 23 проблемы позволяли удаленного выполнить произвольный код, хотя только шесть из них были признаны критическими.
Обе уязвимости нулевого дня уже использовались злоумышленниками в атаках, а информация о проблеме ADV230003 была публично раскрыта еще до выхода патчей. Речь идет об углубленном исправлении для Microsoft Office Defense, которое наконец устранило проблему CVE-2023-36884.
CVE-2023-36884 представляет собой серию 0-day уязвимостей в Office и Windows, связанных с удаленным выполнением HTML-кода. В прошлом месяце Microsoft выпустила только руководство по обнаружению этих публично раскрытых и неисправленных багов.
Уязвимости позволяли злоумышленникам создавать документы Microsoft Office, которые могли обходить защиту Mark of the Web (MoTW), из-за чего такие файлы открывались без каких-либо предупреждений и позволяли удаленно выполнить произвольный код.
Причем изначально эту ошибку классифицировали как RCE в Microsoft Office, однако дальнейшее изучение показало, что удаленное выполнение кода связано с Windows Search.
В июле сообщалось, что эксплуатацией CVE-2023-36884 уже занимаются хакеры из группировки RomCom (она же Storm-0978 и Underground), и уязвимость использовалась в атаках, направленных на организации, участвующие в саммите НАТО.
Вторая 0-day уязвимость этого месяца, CVE-2023-38180, связана с отказом в обслуживании в .NET и Visual Studio. Известно, что проблема уже использовалась злоумышленниками и позволяла осуществить DoS-атаку на уязвимые приложения .NET и Visual Studio. Однако пока Microsoft не раскрывает никаких дополнительных подробностей об этих атаках.
Также Microsoft исправила многочисленные RCE-баги в составе Microsoft Message Queuing (MSMQ) и Microsoft Teams, и ряд спуфинговых проблем в Azure Apache Ambari, Azure Apache Hadoop, Azure Apache Hive, Azure Apache Oozie, Azure DevOps Server. , Azure HDInsight Jupyter и .NET Framework.
Также было устранено шесть уязвимостей, связанных с отказом в обслуживании (DoS), и две уязвимости, связанные с раскрытием информации в MSMQ, а также ряд других проблем, обнаруженных в той же службе, которые могли привести к удаленному выполнению кода и DoS.
Еще три уязвимости удаленного выполнения кода были исправлены в Exchange Server: CVE-2023-35388, CVE-2023-38182 (8,0 балла по шкале CVSS) и CVE-2023-38185 (8,8 балла по шкале CVSS). Причем первые две из них получили пометку «эксплуатация вероятна».
Помимо Microsoft обновления для своих продуктов традиционно выпустили и другие компании, в числе которых:
- Adobe, представившая более 30 исправлений для устранения уязвимостей в Acrobat, Reader и других продуктах. 16 ошибок оцениваются как критические, а эксплуатация некоторых из них может дать злоумышленнику административные привилегии и возможность доступа к данным, установки программ и создания новых учетных записей.
- SAP выпустила 20 новых и обновленных исправлений, и особого внимания заслуживает HotNews 3350297, получившая оценку 9,1 балла по шкале оценки уязвимостей CVSS. Этот баг был впервые замечен в июле текущего года и связан с внедрения команд в IS-OIL.
- AMD опубликовала 10 обновлений, суммарно устранив 13 недостатков в своих продуктах.
- Cisco выпустила патчи для Cisco Secure Web Appliance и Cisco AnyConnect.
- VMware устранила многочисленные проблемы в VMware Horizon Server.
- Fortinet исправила в FortiOS ошибку переполнения буфера стека (CVE-2023-29182) с оценкой 6,4 бала по шкале CVSS. Баг позволял злоумышленникам выполнять произвольный код с помощью CLI-команд и получить полный контроль над скомпрометированной системой.