Июльский вторничный патч: коллекция уже эксплуатируемых уязвимостей.
Июльская коллекция патчей от Microsoft получилась достаточно неожиданной. Во-первых, компания вновь лечит, казалось бы, уже похороненный Internet Explorer. Во-вторых, целых шесть из свежих уязвимостей уже активно эксплуатируются злоумышленниками в атаках. Ну а в-третьих две из этих шести были закрыты не патчами, а как-бы рекомендациями.
В целом же статистика такова: закрыто 132 дырки, 9 из них признаны критическими. Эксплуатация 37 уязвимостей может привести к исполнению произвольного кода, 33 — к повышению привилегий, 13 — к обходу функций безопасности, 22 обернутся отказом в обслуживании.
Хотя корпорация Майкрософт объявила о прекращении использования приложения Internet Explorer 11, базовые платформы MSHTML, EdgeHTML и скриптовые платформы по-прежнему поддерживаются. Платформа MSHTML используется режимом Internet Explorer в Microsoft Edge, а также другими приложениями через элемент управления WebBrowser. Платформа EdgeHTML используется WebView и некоторыми приложениями UWP. Скриптовые платформы используются MSHTML и EdgeHTML, но также могут использоваться другими устаревшими приложениями.
Самая опасная из уязвимостей в IE — и она уже применяется в реальных атаках. Ее успешная эксплуатация позволяет злоумышленникам повысить свои привилегии до уровня атакуемого пользователя. Сценарии атак предполагают создание вредоносного файла, который высылается жертве почтой или размещается на скомпрометированном веб-сайте. Все что остается — убедить пользователя перейти по ссылке и открыть файл.
Остальные две уязвимости — и могут быть использованы для обхода функций, обеспечивающих безопасность. Первая позволяет атакующему создать файл, обойдя механизм Mark-of-the-Web, так что этот файл может быть открыт приложениями из пакета Microsoft Office без защищенного режима. И обе дырки могут быть использованы для того, чтобы заставить пользователя получить доступ к URL-адресу в менее ограниченной зоне безопасности Интернета, чем предполагалось.
Во-первых, это эксплуатируемая в атаках RCE в Office и Windows ( , CVSS 8.3). Для защиты от нее Microsoft советует добавить все исполняемые файлы Office в список FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION.
Вторая нерешенная проблема относится к подписи драйверов уровня ядра — она не имеет индекса CVE, а лишь руководство с рекомендациями ( ). Редмонд отозвал пачку используемых в сертификатов разработчика и заблокировал конкретные вредоносные драйверы, но корень проблемы остался. Хакеры по-прежнему умудряются подписать драйверы у Microsoft или использовать трюк с подписью сертификата задним числом, чтобы он проходил по одному из исключений и не требовал подписи на MS Developers Portal.
Для защиты Microsoft рекомендует поддерживать Windows и EDR обновлёнными. Единственное слабое утешение состоит в том, что для эксплуатации таких драйверов атакующий должен иметь привилегии администратора.
Июльская коллекция патчей от Microsoft получилась достаточно неожиданной. Во-первых, компания вновь лечит, казалось бы, уже похороненный Internet Explorer. Во-вторых, целых шесть из свежих уязвимостей уже активно эксплуатируются злоумышленниками в атаках. Ну а в-третьих две из этих шести были закрыты не патчами, а как-бы рекомендациями.
В целом же статистика такова: закрыто 132 дырки, 9 из них признаны критическими. Эксплуатация 37 уязвимостей может привести к исполнению произвольного кода, 33 — к повышению привилегий, 13 — к обходу функций безопасности, 22 обернутся отказом в обслуживании.
Зачем патчат Internet Explorer
Не так давно о том, что Internet Explorer мертв, но тело дело его живет. В частности, мы рассказывали о совете Microsoft — продолжать устанавливать обновления безопасности, относящиеся к IE, поскольку некоторые его компоненты до сих пор остаются в системе. И вот теперь становится понятно, почему они этот совет давали. Июльский патч закрывает целых три уязвимости в MSHTML — движке, на котором построен легендарный браузер. В описании к ним Microsoft говорит следующее:Хотя корпорация Майкрософт объявила о прекращении использования приложения Internet Explorer 11, базовые платформы MSHTML, EdgeHTML и скриптовые платформы по-прежнему поддерживаются. Платформа MSHTML используется режимом Internet Explorer в Microsoft Edge, а также другими приложениями через элемент управления WebBrowser. Платформа EdgeHTML используется WebView и некоторыми приложениями UWP. Скриптовые платформы используются MSHTML и EdgeHTML, но также могут использоваться другими устаревшими приложениями.
Самая опасная из уязвимостей в IE — и она уже применяется в реальных атаках. Ее успешная эксплуатация позволяет злоумышленникам повысить свои привилегии до уровня атакуемого пользователя. Сценарии атак предполагают создание вредоносного файла, который высылается жертве почтой или размещается на скомпрометированном веб-сайте. Все что остается — убедить пользователя перейти по ссылке и открыть файл.
Остальные две уязвимости — и могут быть использованы для обхода функций, обеспечивающих безопасность. Первая позволяет атакующему создать файл, обойдя механизм Mark-of-the-Web, так что этот файл может быть открыт приложениями из пакета Microsoft Office без защищенного режима. И обе дырки могут быть использованы для того, чтобы заставить пользователя получить доступ к URL-адресу в менее ограниченной зоне безопасности Интернета, чем предполагалось.
Рекомендации вместо патчей
Две следующие проблемы уже активно используются злоумышленниками, но вместо полноценных заплаток получили всего лишь рекомендации по защите.Во-первых, это эксплуатируемая в атаках RCE в Office и Windows ( , CVSS 8.3). Для защиты от нее Microsoft советует добавить все исполняемые файлы Office в список FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION.
Вторая нерешенная проблема относится к подписи драйверов уровня ядра — она не имеет индекса CVE, а лишь руководство с рекомендациями ( ). Редмонд отозвал пачку используемых в сертификатов разработчика и заблокировал конкретные вредоносные драйверы, но корень проблемы остался. Хакеры по-прежнему умудряются подписать драйверы у Microsoft или использовать трюк с подписью сертификата задним числом, чтобы он проходил по одному из исключений и не требовал подписи на MS Developers Portal.
Для защиты Microsoft рекомендует поддерживать Windows и EDR обновлёнными. Единственное слабое утешение состоит в том, что для эксплуатации таких драйверов атакующий должен иметь привилегии администратора.
Остальные активно эксплуатируемые уязвимости
Кроме вышеупомянутых, еще три уязвимости уже используются преступниками в атаках.-
— уязвимость обхода функций безопасности SmartScreen, эксплуатация позволяет создать файл, который открывается без демонстрации предупреждения Windows «файл загружен из Интернета».
-
— уязвимость эскалации привилегий в Windows Error reporting service. Дает возможность атакующим повысить привилегии, если у них уже есть обычные права на создание папок и технических файлов мониторинга производительности.
- — уязвимость обхода функций безопасности в Outlook, эксплуатация позволяет избежать демонстрации предупреждений при использовании предварительного просмотра.
