Разработчики Microsoft исправили более 90 уязвимостей в различных продуктах компании. Среди исправленных багов были и четыре 0-day уязвимости, две из которых уже активно использовались в атаках.

Стоит отметить, что три из четырех проблем нулевого дня были публично раскрыты еще до появления патчей, а Microsoft классифицирует уязвимости как 0-day, если о них сообщалось публично или они подвергались эксплуатации до выхода официальных исправлений.

Так, сообщается, что под атаками уже находятся две следующие проблемы.

CVE-2024-43451 (6,5 балла по шкале CVSS): раскрывает хеши NTLM удаленным злоумышленникам при минимальном взаимодействии пользователем.

«Эта уязвимость раскрывает NTLMv2 хеш пользователя злоумышленнику, который может затем применить его для аутентификации в качестве пользователя, — поясняют в Microsoft. — Минимальное взаимодействие пользователя с вредоносным файлом, такое как выбор (одиночный клик), осмотр (клик правой кнопкой мыши) или выполнение действий, отличных от открытия или выполнения, может привести к эксплуатации этой уязвимости».

Microsoft пишет, что проблема была выявлена специалистами ClearSky Cyber Security и публично раскрыта до выхода патчей, но не сообщает никаких дополнительных подробностей.

CVE-2024-49039 (8,8 балла по шкале CVSS): уязвимость повышения привилегий в планировщике задач Windows (Windows Task Scheduler). Может использоваться через специально созданное приложение, которое позволит повысить привилегии до уровня Medium Integrity.

«В данном случае успешная атака может быть проведена из AppContainer с низкими привилегиями. Атакующий может повысить свои привилегии, выполнить код или получить доступ к ресурсам на более высоком уровне целостности, чем уровень среды выполнения AppContainer», — пояснили в Microsoft.

По данным компании, проблему обнаружили аналитики Google Threat Analysis Group. Эксплуатация уязвимости позволяет злоумышленникам выполнять функции RPC, которые обычно доступны лишь привилегированным учетным записям.

Никаких подробностей об атаках, в которых применялась CVE-2024-49039, в компании не раскрывают.

Еще три 0-day уязвимости ноября были раскрыты публично, но не использовались в атаках. Одной из них была уже описанная CVE-2024-43451, а две других перечислены ниже.

CVE-2024-49040: спуфинг в Microsoft Exchange Server (2016 и 2019). Проблема позволяет подделывать email-адреса отправителя в письмах для локальных получателей.

Проблему нашли эксперты из компании Solidlab, и ранее они уже опубликовали подробную информацию об этом баге. Уязвимость была связана с имплементацией проверки заголовков P2 FROM (допускались заголовки, не соответствующие RFC 5322).

Пример поддельного письма

Фактически Microsoft не исправила этот баг полностью. Так, после выхода патчей Microsoft Exchange обнаруживает и отмечает поддельные письма специальным предупреждением о том, что письмо выглядит подозрительным. В таких случаях пользователям рекомендуется не доверять информации, ссылкам и вложениям в письме, не убедившись в надежности источника.

CVE-2024-49019: уязвимость повышения привилегий в Active Directory Certificate Services, которая позволяла злоумышленникам получить привилегии администратора домена, используя встроенные шаблоны сертификатов version 1 по умолчанию.

Уязвимость была найдена и детально описана еще в октябре 2024 года исследователями из TrustedSec. Специалисты дали проблеме название EKUwu.

«Проверьте, публиковались ли сертификаты, созданные с использованием шаблона сертификата version 1, в котором параметр Source of subject name установлен в значение Supplied in the request, а разрешения Enroll предоставлены широкому набору учетных записей, например, пользователям домена или компьютерам домена. В качестве примера можно привести встроенный шаблон Web Server, но он не уязвим по умолчанию из-за ограниченных разрешений Enroll», — сообщают в Microsoft.

Среди других серьезных проблем, исправленных в этом месяце, следует отметить следующие баги, связанные с удаленным выполнением кода.

CVE-2024-43498 (9,8 балла по шкале CVSS): может использоваться неаутентифицированным злоумышленником через отправку специально подготовленных запросов уязвимому веб-приложению .NET или путем загрузки специально созданного файла в уязвимое десктопное приложение.

CVE-2024-43639 (9,8 балла по шкале CVSS): проблема в Windows Kerberos позволяет неавторизованному злоумышленнику использовать заранее подготовленное приложение и эксплуатировать проблему в протоколе Kerberos для удаленного выполнения кода.

Что касается других компаний, в рамках ноябрьского «вторника обновлений» были выпущены следующие патчи:

  • Citrix исправила две уязвимости в NetScaler ADC и NetScaler Gateway, а также несколько уязвимостей Citrix Session Recording;
  • Intel выпустила 47 исправлений для многих моделей поддерживающихся процессоров;
  • AMD опубликовала партию из восьми исправлений;
  • Adobe выпустила более 50 патчей, предназначенных для Adobe PhotoshopBridgeAuditionAfter EffectsSubstance 3D PainterIllustratorInDesignи Commerce. В компании отдельно подчеркнули важность исправления ошибки в Adobe Commerce, которая получила 7,8 балла по шкале CVSS и представляет опасность для интернет-магазинов.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии