Октябрьские патчи компании Microsoft исправляют более 100 уязвимостей (не считая 18 уязвимостей в браузере Edge), среди которых три 0-day ошибки, которые уже подвергались атакам.
В общей сложности в этом месяце было устранено 45 RCE-уязвимостей, допускающих удаленное выполнение произвольного кода, но только 12 из них Microsoft оценивает как критические.
Сообщается, что информация о двух из трех 0-day уязвимостей была раскрыта еще до выхода патчей (CVE-2023-41763 и CVE-2023-36563). Кроме того, известно, что все эти проблемы уже применялись злоумышленниками для атак:
CVE-2023-41763 — уязвимость в Skype для бизнеса, связанная с несанкционированным повышением привилегий.
«Злоумышленник, успешно воспользовавшийся этой уязвимостью, может просмотреть некоторую конфиденциальную информацию, но не все ресурсы в уязвимом компоненте могут быть доступны злоумышленнику, — объясняет Microsoft. — При этом злоумышленник не может внести изменения в раскрытую информацию или ограничить доступ к ресурсу».
Эту проблему обнаружил доктор Флориан Хаузер (Florian Hauser), который сообщил изданию Bleeping Computer, что это та же самая уязвимость, которую он раскрыл еще в сентябре 2022 года, однако тогда Microsoft отказалась ее исправлять.
«Вы можете использовать эту уязвимость, чтобы добраться до систем во внутренних сетях. По сути, она позволяет проникнуть за “интернет-периметр”, поскольку Skype обычно доступен из внешнего интернета», — объясняет Хаузер.
CVE-2023-36563 — уязвимость в Microsoft WordPad, связанная с раскрытием информации. Эта проблема могла использоваться для кражи NTLM-хэшей при открытии документа в WordPad. Затем эти хэши можно было взломать или использовать в атаках типа NTLM Relay для получения доступа к учетным записям.
«Чтобы воспользоваться этой уязвимостью, злоумышленнику сначала необходимо войти в систему. Затем он может запустить специально созданное приложение, которое сможет воспользоваться уязвимостью и получить контроль над уязвимой системой, — объясняет Microsoft. — Кроме того, злоумышленник может убедить локального пользователя открыть вредоносный файл. Злоумышленнику придется убедить пользователя кликнуть по ссылке (обычно посредством электронного письма или сообщения в мессенджере), а затем убедить его открыть специально созданный файл».
Эта уязвимость была обнаружена внутри компании, исследователями из команды Microsoft Threat Intelligence и, похоже, она является ответвлением проблемы CVE-2023-36761, исправленной в прошлом месяце.
CVE-2023-44487 — уязвимость, связанная с проблемой HTTP/2 Rapid Reset, о которой мы уже рассказывали подробно. Напомним, что этот баг в протоколе HTTP/2 позволяет проводить мощные DDoS-атаки, из-за чего Amazon Web Services (AWS), Cloudflare и Google отчитались о новых антирекордах в этой области.
Благодаря этой уязвимости в протоколе HTTP/2, мощность атак, направленных на облачную инфраструктуру Google, достигла 398 млн запросов в секунду (requests per second, RPS), а атаки направленные на AWS и Cloudflare, превысили 155 млн и 201 млн запросов в секунду. Для сравнения, прошлый рекорд составлял 71 млн запросов в секунду и был зафиксирован в начале 2023 года.
Также Microsoft исправила баги, затрагивающие широкий спектр других продуктов, включая Windows и различные компоненты операционной системы (Exchange Server, Microsoft Office, Visual Studio, ASP.NET Core, Microsoft Dynamics и Message Queuing).
Особенно много проблем оказалось связано именно с технологией Microsoft Message Queuing: ей в этом месяце посвящено 20 отдельных бюллетеней безопасности. По данным аналитиков Trend Micro Zero Day Initiative, одна из этих проблем (CVE-2023-35349) получила оценку 9,8 балла из 10 возможных по шкале CVSS и в некоторых случаях может использоваться червями.
«Удаленный неаутентифицированный злоумышленник может выполнить произвольный код на уровне службы без взаимодействия с пользователем. Это делает ошибку пригодной для червей (по крайней мере, в системах, где включена Message Queuing). Обязательно следует проверить системы на наличие Message Queuing, а также рассмотреть возможность блокировки TCP-порта 1801», — пишут эксперты ZDI.