Новости Мертвому припарка: Microsoft опять патчит IE

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.063
Репутация
11.695
Реакции
61.875
RUB
50
Июльский вторничный патч: коллекция уже эксплуатируемых уязвимостей.


Июльская коллекция патчей от Microsoft получилась достаточно неожиданной. Во-первых, компания вновь лечит, казалось бы, уже похороненный Internet Explorer. Во-вторых, целых шесть из свежих уязвимостей уже активно эксплуатируются злоумышленниками в атаках. Ну а в-третьих две из этих шести были закрыты не патчами, а как-бы рекомендациями.

В целом же статистика такова: закрыто 132 дырки, 9 из них признаны критическими. Эксплуатация 37 уязвимостей может привести к исполнению произвольного кода, 33 — к повышению привилегий, 13 — к обходу функций безопасности, 22 обернутся отказом в обслуживании.

microsoft-patch-tuesday-july-2023-featured.jpg


Зачем патчат Internet Explorer​

Не так давно о том, что Internet Explorer мертв, но тело дело его живет. В частности, мы рассказывали о совете Microsoft — продолжать устанавливать обновления безопасности, относящиеся к IE, поскольку некоторые его компоненты до сих пор остаются в системе. И вот теперь становится понятно, почему они этот совет давали. Июльский патч закрывает целых три уязвимости в MSHTML — движке, на котором построен легендарный браузер. В описании к ним Microsoft говорит следующее:

Хотя корпорация Майкрософт объявила о прекращении использования приложения Internet Explorer 11, базовые платформы MSHTML, EdgeHTML и скриптовые платформы по-прежнему поддерживаются. Платформа MSHTML используется режимом Internet Explorer в Microsoft Edge, а также другими приложениями через элемент управления WebBrowser. Платформа EdgeHTML используется WebView и некоторыми приложениями UWP. Скриптовые платформы используются MSHTML и EdgeHTML, но также могут использоваться другими устаревшими приложениями.

Чтобы оставаться полностью защищенными, мы рекомендуем клиентам, которые устанавливают только обновления безопасности, установить также и накопительные обновления IE.

Самая опасная из уязвимостей в IE и она уже применяется в реальных атаках. Ее успешная эксплуатация позволяет злоумышленникам повысить свои привилегии до уровня атакуемого пользователя. Сценарии атак предполагают создание вредоносного файла, который высылается жертве почтой или размещается на скомпрометированном веб-сайте. Все что остается — убедить пользователя перейти по ссылке и открыть файл.

Остальные две уязвимости и могут быть использованы для обхода функций, обеспечивающих безопасность. Первая позволяет атакующему создать файл, обойдя механизм Mark-of-the-Web, так что этот файл может быть открыт приложениями из пакета Microsoft Office без защищенного режима. И обе дырки могут быть использованы для того, чтобы заставить пользователя получить доступ к URL-адресу в менее ограниченной зоне безопасности Интернета, чем предполагалось.

Рекомендации вместо патчей​

Две следующие проблемы уже активно используются злоумышленниками, но вместо полноценных заплаток получили всего лишь рекомендации по защите.

Во-первых, это эксплуатируемая в атаках RCE в Office и Windows ( , CVSS 8.3). Для защиты от нее Microsoft советует добавить все исполняемые файлы Office в список FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION.

Вторая нерешенная проблема относится к подписи драйверов уровня ядра — она не имеет индекса CVE, а лишь руководство с рекомендациями ( ). Редмонд отозвал пачку используемых в сертификатов разработчика и заблокировал конкретные вредоносные драйверы, но корень проблемы остался. Хакеры по-прежнему умудряются подписать драйверы у Microsoft или использовать трюк с подписью сертификата задним числом, чтобы он проходил по одному из исключений и не требовал подписи на MS Developers Portal.

Для защиты Microsoft рекомендует поддерживать Windows и EDR обновлёнными. Единственное слабое утешение состоит в том, что для эксплуатации таких драйверов атакующий должен иметь привилегии администратора.

Остальные активно эксплуатируемые уязвимости​

Кроме вышеупомянутых, еще три уязвимости уже используются преступниками в атаках.

  • — уязвимость обхода функций безопасности SmartScreen, эксплуатация позволяет создать файл, который открывается без демонстрации предупреждения Windows «файл загружен из Интернета».

  • — уязвимость эскалации привилегий в Windows Error reporting service. Дает возможность атакующим повысить привилегии, если у них уже есть обычные права на создание папок и технических файлов мониторинга производительности.

  • — уязвимость обхода функций безопасности в Outlook, эксплуатация позволяет избежать демонстрации предупреждений при использовании предварительного просмотра.

Как оставаться в безопасности​

Для того чтобы корпоративные ресурсы оставались в безопасности, мы рекомендуем незамедлительно установить свежие заплатки, а также не забывать защищать все рабочие компьютеры и серверы при помощи современных решений, способных выявлять эксплуатацию как уже известных, так и пока еще не исследованных уязвимостей.

 
Компания Microsoft выпустила июльский патч, в котором было закрыто 132 уязвимости, из них 9 были признаны критическими. Некоторые из этих уязвимостей уже активно эксплуатируются злоумышленниками. Особое внимание было обращено на Internet Explorer, который, несмотря на свое устаревание, все еще имеет компоненты, требующие обновлений безопасности. Были закрыты три уязвимости в MSHTML - движке, на котором работает Internet Explorer. Одна из этих уязвимостей уже используется в реальных атаках и позволяет атакующему повысить свои привилегии. Кроме того, были обнаружены еще несколько уязвимостей, которые также активно эксплуатируются злоумышленниками. Для обеспечения безопасности, Microsoft рекомендует устанавливать все обновления безопасности и регулярно обновлять операционную систему и системы обнаружения и реагирования на инциденты.
 
Сверху Снизу