Компания Microsoft опубликовала сентябрьские обновления для своих продуктов, которые устранили 79 уязвимостей, включая четыре проблемы нулевого дня и три бага активно эксплуатируемые злоумышленниками в реальных атаках.
Суммарно в этом месяце были исправлены семь критических проблем, которые позволяли добиться либо удаленного выполнения кода, либо повышения привилегий.
Также, как уже было сказано выше, пропатчены три активно эксплуатируемые злоумышленниками уязвимости нулевого дня:
- CVE-2024-38014 — повышение привилегий в Windows Installer. Эта уязвимость позволяет получить привилегии уровня SYSTEM в Windows-системах. Пока Microsoft не сообщила никаких подробностей о том, как именно этот баг использовался в атаках.
- CVE-2024-38217 — обход защиты Mark of the Web в Windows. Недостаток был публично раскрыт в прошлом месяце специалистами Elastic Security и считается, что он активно использовался хакерами как минимум с 2018 года.
В своем отчете исследователи описывали технику атак LNK stomping, которая позволяет специально созданным LNK-файлам с нестандартными целевыми путями или внутренней структурой добиться открытия файлов в обход Smart App Control и предупреждений Mark of the Web. Эксплуатация проблемы приводит к выполнению команды в файле LNK без предупреждения, как показано ниже.
- CVE-2024-38226 — обход защиты Microsoft Publisher. Microsoft исправила недостаток в Microsoft Publisher, который позволял обойти защиту от встроенных макросов в загружаемых документах.
«Злоумышленник, успешно воспользовавшийся этой уязвимостью, может обойти политики макросов Office, используемые для блокировки недоверенных или вредоносных файлов», - поясняется в сообщении Microsoft.Microsoft не сообщает, кто обнаружил эту проблему, и как она использовалась в атаках.
Кроме того, Microsoft устранила 0-day уязвимость CVE-2024-43491 (9,8 балла из 10 по шкале CVSS), допускающую удаленное выполнение произвольного кода. Этот баг тоже отмечен как эксплуатируемый в атаках, однако эта отметка означает лишь то, что уязвимость позволяет повторно применять в атаках старые проблемы.
Сообщается, что баг был связан с проблемой в служебном стеке (Servicing Stack), и повторно привнес ряд уязвимостей в уже исправленное ранее ПО.
«Microsoft известно об уязвимости в Servicing Stack, которая приводила к откату исправлений для некоторых уязвимостей, затрагивающих необязательные компоненты в Windows 10 версии 1507 (исходная версия выпущена в июле 2015 года), — рассказывают разработчики Microsoft. — Это означает, что злоумышленник мог использовать ранее исправленные уязвимости в системах под управлением Windows 10 версии 1507 (Windows 10 Enterprise 2015 LTSB и Windows 10 IoT Enterprise 2015 LTSB), где было установлено обновление безопасности Windows, выпущенное 12 марта 2024 года — KB5035858 (OS Build 10240.20526), или другие обновления, выпущенные до августа 2024 года. Более поздние версии Windows 10 не затронуты этой проблемой.
Данная уязвимость устраняется путем установки обновления Servicing Stack от сентября 2024 года (SSU KB5043936) и обновления безопасности Windows от сентября 2024 года (KB5043083), именно в указанном порядке».
То есть проблема затрагивает только Windows 10 версии 1507, срок поддержки которой истек еще в 2017 году. Однако она также затрагивает версии Windows 10 Enterprise 2015 LTSB и Windows 10 IoT Enterprise 2015 LTSB, которые по-прежнему поддерживаются.
Уязвимость интересна тем, что из-за нее необязательные компоненты, включая Active Directory Lightweight Directory Services, XPS Viewer, Internet Explorer 11, LPD Print Service, IIS и Windows Media Player, откатываются к своим исходным RTM-версиям. Это приводит к повторному возникновению всех предыдущих и уже исправленных в прошлом CVE, которые в итоге снова можно эксплуатировать.
Также это означает, что если пользователь установил, скажем, обновление от марта 2024 года, его ОС самостоятельно отменила ранее примененные исправления.
«Если вы установили какое-либо из предыдущих обновлений безопасности, выпущенных в период с марта по август 2024 года, то откат исправленных CVE, затрагивающих [необязательные] компоненты, уже произошел. Чтобы восстановить эти патчи, пользователям необходимо установить обновление Servicing Stack и обновление безопасности для Windows 10 от сентября 2024 года», — подтверждают разработчики.
Фактически, Microsoft заявляет, что пользователям следует установить как свежее обновление Servicing Stack (KB5043936), так и обновление безопасности (KB5043083), именно в таком порядке. Более подробную информацию можно найти здесь. Причем в компании предупредили, что эти манипуляции могут нарушить работу систем с двойной загрузкой, работающих под управлением Windows и Linux.
Таким образом, Microsoft пометила эту проблему как эксплуатируемую, поскольку та заново открывала уязвимости, которые использовались для атак в прошлом. При этом Microsoft утверждает, что нет никаких свидетельств того, что о баге знали преступники, и кто-то им действительно пользовался.