На этой неделе компания Microsoft выпустила ноябрьский набор патчей, которые суммарно устранили 58 уязвимостей (без учета еще 20 исправлений для Microsoft Edge, выпущенных ранее), включая пять 0-day проблем.
Хотя в этом месяце было исправлено 14 ошибок, связанных с удаленным выполнением кода (RCE), только одну из них специалисты Microsoft оценили как критическую: уязвимость CVE-2023-36052 в Azure CLI, найденную исследователями Palo Alto Networks.
Этот баг позволял злоумышленникам похищать учетные данные из GitHub Actions или журналов Azure DevOps, созданных с помощью Azure CLI. Так, успешная эксплуатация бага позволяла неаутентифицированным третьим лицам удаленно получать доступ к текстовому содержимому, записываемому Azure CLI в журналы CI/CD.
«Злоумышленник, успешно эксплуатирующий эту уязвимость, может восстановить пароли и имена пользователей в открытом виде из файлов журналов, созданных соответствующими командами CLI и опубликованных Azure DevOps и/или GitHub Actions, — поясняет Microsoft. — Клиенты, использующие уязвимые команды CLI, должны обновить Azure CLI до версии 2.53.1 или выше, чтобы защититься от рисков, связанных с этой уязвимостью. Это также относится к клиентам с логами, созданными с помощью этих команд через Azure DevOps и GitHub Actions».
По словам специалистов, клиенты, которые недавно использовали команды Azure CLI, уже уведомлены о проблеме через Azure Portal.
Среди других исправленных в ноябре RCE-проблем были уязвимости в Windows Internet Connection Sharing (ICS) и Hyper-V, позволяющая выполнять программы на хосте с привилегиями уровня SYSTEM.
Что касается уязвимостей нулевого дня, таковых в этом месяце насчитывается пять, причем три из них уже использовались в атаках, а информация еще о трех была публично раскрыта до выхода исправлений.
В список активно эксплуатируемых уязвимостей вошли:
CVE-2023-36036 — повышение привилегий в драйвере Windows Cloud Files Mini Filter. Microsoft предупреждает, что эту ошибку можно было использовать для повышения привилегий до уровня SYSTEM. Пока не сообщается, каким именно образом этот баг применялся хакерами.
CVE-2023-36033 — повышение привилегий в библиотеке ядра Windows Desktop Manager (WDM). Эта проблема так же могла использоваться для повышения привилегий до уровня SYSTEM. Microsoft сообщила, что уязвимость была обнаружена специалистом DBAPPSecurity WeBin Lab, но не предоставила никаких подробностей о ее эксплуатации.
CVE-2023-36025 — обход защиты Windows Defender SmartScreen. Уязвимость позволяла вредоносному ярлыку Internet Shortcut обойти проверки и связанные с ними предупреждения безопасности.
«Пользователю достаточно кликнуть по специально созданному ярлыку Internet Shortcut (.URL) или гиперссылке, указывающей на файл Internet Shortcut, чтобы попасть под атаку злоумышленника», — пишут специалисты компании.
Кроме того, Microsoft сообщает, что в рамках этого «вторника обновлений» исправлены еще две публично раскрытые ранее проблемы нулевого дня: обход защитных функций Microsoft Office (CVE-2023-36413) и отказ в обслуживании, связанный с ASP.NET (CVE-2023-36038). Эти уязвимости не использовались в атаках.
Также на этой неделе обновления и исправления для своих продуктов выпустили и другие крупные компании:
- Adobe исправила сразу 76 уязвимостей в Acrobat и Reader, InDesign, InCopy, Photoshop, ColdFusion, Audition, Premiere Pro, After Effects, Media Encoder, Dimension, Animate, Bridge, RoboHelp Server и FrameMaker Publishing Server. Однако ни одна из этих уязвимостей не использовалась злоумышленниками;
- VMware предложила временное решение для критической уязвимости обхода аутентификации (CVE-2023-34060), которая затрагивала Cloud Director. Баг получил 9,8 балла по шкале CVSS, но влияет только на экземпляры, которые были обновлены со старой версии до версии 10.5;
- SAP устранила критическую ошибку неправильного контроля доступа в Business One (CVE-2023-31403), получившую оценку 9,6 балла по шкале CVSS;
- Cisco выпустила обновления безопасности для различных продуктов, включая Cisco ASA.