Первые патчи в этом году устранили 49 уязвимостей в продуктах Microsoft, 12 из которых представляли собой проблемы удаленного выполнения кода (RCE). В этом месяце только две уязвимости были классифицированы как критические: обход защиты Windows Kerberos и RCE в Hyper-V.
В январе не было исправлено ни одной 0-day уязвимости под атаками, но среди наиболее опасных багов этого месяца можно перечислить следующие.
Уязвимость удаленного выполнения кода в Office, получившая идентификатор CVE-2024-20677, которая позволяет злоумышленникам создавать вредоносные документы Office со встроенными файлами 3D-моделей FBX для удаленного выполнения кода.
«В FBX присутствует уязвимость, которая может привести к удаленному выполнению кода. Чтобы смягчить эту проблему, возможность вставки файлов FBX отключена в Word, Excel, PowerPoint и Outlook для Windows и Mac, — сообщают в Microsoft. — Версии Office, в которых была включена эта функция, более не будут иметь к ней доступа (включая Office 2019, Office 2021, Office LTSC для Mac 2021 и Microsoft 365). 3D-модели в документах Office, которые ранее были вставлены из файлов FBX, продолжат работать должным образом, если во время вставки не выбран параметр Link to File».
Уже упомянутая выше критическая проблема в Windows Kerberos получила идентификатор CVE-2024-20674 (9 баллов из 10 возможных по шкале CVSS) и позволяла злоумышленникам обойти аутентификацию. Подчеркивается, что для реализации такой атаки злоумышленнику понадобится предварительно получить доступ к сети.
«Неаутентифицированный злоумышленник может воспользоваться этой уязвимостью, организовав атаку типа “machine-in-the-middle” (MITM) или использовав другой метод спуфинга в локальной сети, а затем отправив вредоносное сообщение Kerberos на клиентскую машину-жертву, чтобы выдать себя за сервер аутентификации Kerberos», — пишет Microsoft.
Что касается критической уязвимости в Windows Hyper-V, она имеет идентификатор CVE-2024-20700 и связана с тем, что состояние гонки подвергает операционную систему риску удаленного выполнения кода.
Другие патчи этого месяца исправляют различные проблемы в составе Microsoft Office, Azure, SQL Server, Internet Explorer, Windows LibArchive и SharePoint Server.
Также следует отметить, что на этой неделе исправления для своих продуктов представила и компания Adobe. В этом случае были устранены сразу шесть уязвимостей в Substance 3D Stager. Успешная эксплуатация этих недостатков может привести к утечке памяти и выполнению произвольного кода в контексте текущего пользователя.
Adobe присвоила багам рейтинг «important» и призвала пользователей MacOS и Windows как можно скорее установить патчи.
