В общей сложности октябрьские патчи от компании Microsoft устранили 118 уязвимостей, включая пять публично раскрытых ранее проблем нулевого дня. Два 0-day бага уже были взяты на вооружение хакерами.
Из 118 исправленных проблем три получили статус «критических», а еще 113 — «важных». Также в список патчей «вторника обновлений» не вошли 25 уязвимостей, которые компания ранее устранила в своем браузере Edge.
Напомним, что Microsoft относит к уязвимостям нулевого дня не только те проблемы, которые уже эксплуатируют злоумышленники, но и баги, информация о которых была открыто опубликована до выхода патчей.
Таким образом, к используемым хакерами уязвимостям относятся только две проблемы:
CVE-2024-43573 (6,5 балла по шкале CVSS) — спуфинговая уязвимость Windows MSHTML. Хотя Microsoft не поделилась подробной информацией об этой ошибке и способах ее эксплуатации, в компании пишут, что уязвимость связана с платформой MSHTML, ранее использовавшейся в Internet Explorer и Legacy Microsoft Edge, компоненты которых по-прежнему установлены в Windows.
«Хотя Microsoft объявила о прекращении поддержки приложения Internet Explorer 11 на некоторых платформах, а приложение Microsoft Edge Legacy устарело, базовые MSHTML, EdgeHTML и скриптовые платформы по-прежнему поддерживаются, — пояснили в Microsoft. — Платформа MSHTML используется для работы режима Internet Explorer в Microsoft Edge, а также другими приложениями посредством WebBrowser. Платформа EdgeHTML используется в WebView и некоторых приложениях UWP. Скриптовые платформы используются MSHTML и EdgeHTML, но также могут применяться и другими устаревшими приложениями».
Хотя официальных подтверждений нет, предполагается, что эта уязвимость может быть связана с обходом патча для других аналогичных багов в MSHTML. К примеру, в прошлом месяце сообщалось, что хакеры использовали проблему спуфинга MSHTML (CVE-2024-43461) для маскировки вредоносных файлов под PDF, задействовав в своих атаках символы из Unicode-блока шрифта Брайля.
CVE-2024-43572 (7,8 балла по шкале CVSS) — RCE-уязвимость удаленного выполнения кода в Microsoft Management Console. Эта проблема позволяла вредоносным файлам Microsoft Saved Console (MSC) осуществлять удаленное выполнение кода на уязвимых устройствах. Microsoft устранила баг, предотвратив открытие недоверенных файлов MSC.
«Обновление безопасности предотвращает открытие недоверенных файлов Microsoft Saved Console (MSC), чтобы защитить пользователей от рисков, связанных с этой уязвимостью», — пояснили в Microsoft.
Уязвимость присутствует в Windows Server 2008–2022, а также Windows 10 и 11. Неизвестно, как именно эта проблема использовалась в атаках, и какие хак-группы ее эксплуатировали.
Три другие 0-day уязвимости не использовались в атаках, но информация о них была публично доступна до выхода патчей.
CVE-2024-6197 (8,8 балла по шкале CVSS) — RCE-уязвимость в Curl. Microsoft исправила проблему удаленного выполнения кода в libcurl, которая могла привести к выполнению команд при попытке Curl подключиться к вредоносному серверу.
CVE-2024-20659 (7,1 балла по шкале CVSS) — уязвимость обхода защитных механизмов Windows Hyper-V. Разработчики устранили ошибку обхода UEFI, которая позволяла злоумышленникам скомпрометировать гипервизор и ядро. Microsoft отмечает, что для эксплуатации этого бага понадобится физический доступ к устройству, а также его перезагрузка.
CVE-2024-43583 (7,8 балла по шкале CVSS) — уязвимость повышения привилегий Winlogon. Проблема позволяла злоумышленникам получить привилегии уровня SYSTEM в Windows. По словам Microsoft, для защиты от этой ошибки администраторам придется предпринять дополнительные действия.
«Чтобы устранить эту уязвимость, убедитесь, что на вашем устройстве включен IME от Microsoft, — объясняют в компании. — Это поможет защитить устройство от потенциальных уязвимостей, связанных с IME сторонних производителей во время процесса входа в систему».
При этом среди всех багов, исправленных в этом месяце, наиболее серьезным можно назвать RCE-уязвимость в Microsoft Configuration Manager (CVE-2024-43468, 9,8 балла по шкале CVSS), которая позволяла неаутентифицированным лицам выполнять произвольные команды.
«Неавторизованный злоумышленник мог использовать эту уязвимость, отправляя специально подготовленные запросы в целевую среду, которые обрабатывались небезопасным образом, позволяя атакующему выполнять команды на сервере и/или в самой БД», — предупредили в компании.
Две другие критические уязвимости были связаны с удаленным выполнением кода в расширении Visual Studio Code для Arduino (CVE-2024-43488, 8,8 балла по шкале CVSS) и сервере RDP (CVE-2024-43582, 8,1 балла по шкале CVSS).
