В рамках мартовского вторника обновлений Microsoft выпустила более 60 патчей (плюс четыре уязвимости Microsoft Edge, исправленные 7 марта). Восемнадцать из исправленных уязвимостей позволяли удаленно выполнять произвольный код, однако в этом месяце не было устранено ни одной 0-day ошибки.
Патчи этого месяца исправили две критические уязвимости, CVE-2024-21407 и CVE-2024-21408: удаленное выполнение кода и отказ в обслуживании (DoS) в Hyper-V.
«Уязвимость [CVE-2024-21407] требует, чтобы аутентифицированный злоумышленник на гостевой ВМ отправлял специально подготовленные запросы файловых операций на ВМ, обращенные к аппаратным ресурсам, что может привести к удаленному выполнению кода на хост-сервере», — сообщают в Microsoft.
По словам компании, для успешной эксплуатации этой проблемы атакующий должен собрать информацию, специфичную для конкретной среды, и предпринять ряд дополнительных действий перед атакой.
Также отдельного внимания заслуживают следующие исправленные в этом месяце проблемы.
CVE-2024-21400 — уязвимость повышения привилегий в конфиденциальных контейнерах Microsoft Azure Kubernetes. Проблема позволяет злоумышленникам получить повышенные привилегии и похитить учетные данные.
«Злоумышленник, успешно воспользовавшийся этой уязвимостью, мог похитить учетные данные и повлиять на ресурсы, выходящие за рамки зоны безопасности, управляемой Azure Kubernetes Service Confidential Containers (AKSCC)», — поясняется в сообщении Microsoft.
CVE-2024-26199 — уязвимость повышения привилегий в Microsoft Office. Позволяет любому аутентифицированному пользователю получить привилегии SYSTEM.
«Любой аутентифицированный пользователь может воспользоваться этой уязвимостью. Для этого не требуются права администратора или другие повышенные привилегии», — пишут эксперты.
CVE-2024-20671 — уязвимость обхода защитных функций Microsoft Defender. Баг мог привести к тому, что аутентифицированный злоумышленник получал возможность предотвратить запуск Microsoft Defender.
Проблема устранена с помощью обновлений Windows Defender Antimalware Platform, которые автоматически устанавливаются на устройства под управлением Windows. Недостаток исправлен в версии 4.18.24010.12 Antimalware Platform.
CVE-2024-21334 — критическая RCE-уязвимость в Open Management Infrastructure (OMI). Позволяет удаленному неаутентифицированому злоумышленнику получить доступ к экземпляру OMI из интернета, отправить специально созданный запрос и спровоцировать user-after-free проблему.
CVE-2024-21411 — уязвимость удаленного выполнения кода в Skype for Consumer. Эксплуатировать эту проблему можно при помощи вредоносной ссылкой или изображения.
«Злоумышленник может воспользоваться уязвимостью, отправив пользователю вредоносную ссылку или вредоносное изображение через мгновенное сообщение, а затем убедив его кликнуть по этой ссылке или изображению», — сообщает Microsoft.
Помимо Microsoft патчи для своих продуктов на этой неделе опубликовали и другие компании, среди которых:
- Adobe устранила 56 уязвимостей (включая критические) в Experience Manager, Premiere Pro, ColdFusion, Bridge, Lightroom и Animate. Ни одна из проблем не использовалась хакерами.
- Intel выпустила восемь патчей для устранения 11 уязвимостей в своих аппаратных, встроенных и программных продуктах. Ни одна из них не является критической.
- SAP опубликовала более десяти бюллетеней безопасности. Один из них описывает уязвимость внедрения кода с рейтингом 9,4 балла по шкале CVSS, которая проявляется в приложениях, созданных с помощью SAP Build Apps.
- Cisco выпустила обновления для ряда своих продуктов, включая последний патч для проблемы CVE-2023-20214, впервые раскрытой еще в прошлом году. Этот баг позволял неаутентифицированному удаленному злоумышленнику получить разрешения на чтение и ограниченные права на запись в затронутом экземпляре Cisco SD-WAN vManage.