Разработчики Microsoft исправили более 90 уязвимостей в различных продуктах компании. Среди исправленных багов были и четыре 0-day уязвимости, две из которых уже активно использовались в атаках.
Стоит отметить, что три из четырех проблем нулевого дня были публично раскрыты еще до появления патчей, а Microsoft классифицирует уязвимости как 0-day, если о них сообщалось публично или они подвергались эксплуатации до выхода официальных исправлений.
Так, сообщается, что под атаками уже находятся две следующие проблемы.
CVE-2024-43451 (6,5 балла по шкале CVSS): раскрывает хеши NTLM удаленным злоумышленникам при минимальном взаимодействии пользователем.
«Эта уязвимость раскрывает NTLMv2 хеш пользователя злоумышленнику, который может затем применить его для аутентификации в качестве пользователя, — поясняют в Microsoft. — Минимальное взаимодействие пользователя с вредоносным файлом, такое как выбор (одиночный клик), осмотр (клик правой кнопкой мыши) или выполнение действий, отличных от открытия или выполнения, может привести к эксплуатации этой уязвимости».
Microsoft пишет, что проблема была выявлена специалистами ClearSky Cyber Security и публично раскрыта до выхода патчей, но не сообщает никаких дополнительных подробностей.
CVE-2024-49039 (8,8 балла по шкале CVSS): уязвимость повышения привилегий в планировщике задач Windows (Windows Task Scheduler). Может использоваться через специально созданное приложение, которое позволит повысить привилегии до уровня Medium Integrity.
«В данном случае успешная атака может быть проведена из AppContainer с низкими привилегиями. Атакующий может повысить свои привилегии, выполнить код или получить доступ к ресурсам на более высоком уровне целостности, чем уровень среды выполнения AppContainer», — пояснили в Microsoft.
По данным компании, проблему обнаружили аналитики Google Threat Analysis Group. Эксплуатация уязвимости позволяет злоумышленникам выполнять функции RPC, которые обычно доступны лишь привилегированным учетным записям.
Никаких подробностей об атаках, в которых применялась CVE-2024-49039, в компании не раскрывают.
Еще три 0-day уязвимости ноября были раскрыты публично, но не использовались в атаках. Одной из них была уже описанная CVE-2024-43451, а две других перечислены ниже.
CVE-2024-49040: спуфинг в Microsoft Exchange Server (2016 и 2019). Проблема позволяет подделывать email-адреса отправителя в письмах для локальных получателей.
Проблему нашли эксперты из компании Solidlab, и ранее они уже опубликовали подробную информацию об этом баге. Уязвимость была связана с имплементацией проверки заголовков P2 FROM (допускались заголовки, не соответствующие RFC 5322).
Фактически Microsoft не исправила этот баг полностью. Так, после выхода патчей Microsoft Exchange обнаруживает и отмечает поддельные письма специальным предупреждением о том, что письмо выглядит подозрительным. В таких случаях пользователям рекомендуется не доверять информации, ссылкам и вложениям в письме, не убедившись в надежности источника.
CVE-2024-49019: уязвимость повышения привилегий в Active Directory Certificate Services, которая позволяла злоумышленникам получить привилегии администратора домена, используя встроенные шаблоны сертификатов version 1 по умолчанию.
Уязвимость была найдена и детально описана еще в октябре 2024 года исследователями из TrustedSec. Специалисты дали проблеме название EKUwu.
«Проверьте, публиковались ли сертификаты, созданные с использованием шаблона сертификата version 1, в котором параметр Source of subject name установлен в значение Supplied in the request, а разрешения Enroll предоставлены широкому набору учетных записей, например, пользователям домена или компьютерам домена. В качестве примера можно привести встроенный шаблон Web Server, но он не уязвим по умолчанию из-за ограниченных разрешений Enroll», — сообщают в Microsoft.
Среди других серьезных проблем, исправленных в этом месяце, следует отметить следующие баги, связанные с удаленным выполнением кода.
CVE-2024-43498 (9,8 балла по шкале CVSS): может использоваться неаутентифицированным злоумышленником через отправку специально подготовленных запросов уязвимому веб-приложению .NET или путем загрузки специально созданного файла в уязвимое десктопное приложение.
CVE-2024-43639 (9,8 балла по шкале CVSS): проблема в Windows Kerberos позволяет неавторизованному злоумышленнику использовать заранее подготовленное приложение и эксплуатировать проблему в протоколе Kerberos для удаленного выполнения кода.
Что касается других компаний, в рамках ноябрьского «вторника обновлений» были выпущены следующие патчи:
- Citrix исправила две уязвимости в NetScaler ADC и NetScaler Gateway, а также несколько уязвимостей Citrix Session Recording;
- Intel выпустила 47 исправлений для многих моделей поддерживающихся процессоров;
- AMD опубликовала партию из восьми исправлений;
- Adobe выпустила более 50 патчей, предназначенных для Adobe Photoshop, Bridge, Audition, After Effects, Substance 3D Painter, Illustrator, InDesignи Commerce. В компании отдельно подчеркнули важность исправления ошибки в Adobe Commerce, которая получила 7,8 балла по шкале CVSS и представляет опасность для интернет-магазинов.