Главная » Linux

Уязвимость нулевого дня windows

Содержание
  1. Вторник патчей (январь 2021): Уязвимость нулевого дня в Microsoft Defender
  2. Уязвимость нулевого дня в Microsoft Defender
  3. Microsoft исправила ранее раскрытую уязвимость повышения привилегий в Windows
  4. Вторник патчей (апрель 2021): Microsoft исправила 108 уязвимостей, включая 5 угроз нулевого дня
  5. Исправлено 5 уязвимостей нулевого дня
  6. АНБ обнаружило еще 4 уязвимости Microsoft Exchange
  7. Специалисты Google Project Zero обнаружили 0-day уязвимость в ядре Windows
  8. Xakep #263. Кредитки в опасности
  9. Уязвимость нулевого дня Google Chrome и Microsoft Edge опубликовали в Twitter
  10. Обнаружена 0day уязвимость повышения привилегий в Windows 7-10

Вторник патчей (январь 2021): Уязвимость нулевого дня в Microsoft Defender

Сегодня в 21:00 по московскому времени компания Microsoft запустила доставку ежемесячных обновлений безопасности в рамках очередного «Вторника Патчей» (Patch Tuesday).

В этом месяце Редмонду удалось исправить в общей сложности 83 уязвимости во многих своих продуктах, включая операционные системы Windows, облачные сервисы, инструменты для разработчиков и корпоративные серверы.

Уязвимость нулевого дня в Microsoft Defender

Среди всех исправленных сегодня ошибок безопасности особое внимание привлекает уязвимость нулевого дня в антивирусной программе Microsoft Defender. Microsoft отмечает, что случаи реальной эксплуатации данной уязвимости уже были зарегистрированы.

Уязвимость под идентификатором CVE-2021-1647 позволяет удаленному злоумышленнику выполнить произвольный код на уязвимых устройствах после того, как жертва открыла вредоносный документ в системе с установленным Microsoft Defender.

Microsoft заверяет, что хотя реальных случаев эксплуатации не было обнаружено, используемая в атаках техника работает не во всех ситуациях и по-прежнему считается находящейся на уровне проверки концепции. Однако ошибки в коде могли применяться и для более проверенных атак.

Чтобы противодействовать будущим атакам, Microsoft выпустила исправления для Microsoft Malware Protection Engine, которые не требуют вмешательства пользователя и устанавливаются автоматически.

Microsoft исправила ранее раскрытую уязвимость повышения привилегий в Windows

Microsoft также исправила брешь в безопасности в службе splwow64 Windows, которую могли эксплуатировать злоумышленники для повышения привилегий выполнения кода.

Подробная информация о данной уязвимости с идентификатором CVE-2021-1648 была обнародована 15 декабря 2020 года в рамках проекта Trend Micro Zero-Day Initiative.

Несмотря на то, что информация об уязвимости стала общедоступной, реальные случаи ее эксплуатации не были зафиксированы.

В любом случае, администраторам Windows рекомендуется как можно скорее установить обновления безопасности, чтобы снизить риски атак.

Вторник патчей (апрель 2021): Microsoft исправила 108 уязвимостей, включая 5 угроз нулевого дня

История с Microsoft Exchange продолжается уже второй месяц, и системным администраторам в апреле также не получится расслабиться.

В общей сложности в этот раз компании удалось исправить 108 уязвимостей, 19 из которых помечены как критические, а остальные 89 имеют статус «Важные». В данное число не входят 6 уязвимостей Microsoft Edge на Chromium, патчи для которых вышли в начале месяца.

Читайте также:  Windows were unable to complete the format

Компания подготовила патчи для пяти уязвимостей нулевого дня, информация о которых стала общедоступной. Также известно, что, по крайней мере, одна из уязвимостей эксплуатировалась в реальных условиях.

Кроме того, Microsoft устранила четыре критические уязвимости Microsoft Exchange, обнаруженные АНБ.

Подробная информация о выпущенных накопительных обновлениях KB5001330 и KB5001337 для Windows 10 доступна на соответствующих страницах этих обновлений.

Исправлено 5 уязвимостей нулевого дня

В рамках «Вторника Патчей» Microsoft устранила четыре публично раскрытых уязвимости и одну активно используемую уязвимость.

Согласно заявлениям компании, следующие четыре уязвимости были раскрыты, но не использовались в реальных атаках:

  • CVE-2021-27091 — уязвимость повышения привилегий в службе сопоставления конечных точек RPC.
  • CVE-2021-28312 — уязвимость Windows NTFS, направленная на отказ в обслуживании.
  • CVE-2021-28437 — уязвимость установщика Windows, связанная с раскрытием информации.
  • CVE-2021-28458 — уязвимость, связанная с повышением привилегий в библиотеке Azure ms-rest-nodeauth.

Еще одна уязвимость, обнаруженная исследователем «Лаборатории Касперского» Борисом Лариным, использовалась в реальных атаках предположительно группировкой BITTER APT:

  • CVE-2021-28310 — уязвимость Win32k, связанная с повышением привилегий.

В блоге Securelist «Лаборатории Касперского» сообщается:

Мы считаем, что этот эксплойт широко используется, возможно, несколькими злоумышленниками. Это эксплойт повышения привилегий (EoP), вероятнее всего, используется вместе с другими эксплойтами браузера для выхода из песочницы или получения системных привилегий для дальнейшего доступа

К сожалению, нам не удалось установить всю цепочку, поэтому мы не знаем, используется ли эксплойт в связке с другой уязвимостью нулевого дня или в сочетании с известными исправленными уязвимостями.

АНБ обнаружило еще 4 уязвимости Microsoft Exchange

Администраторы Microsoft Exchange снова не смогут расслабиться, потому что в Microsoft Exchange были исправлены еще четыре критических уязвимости удаленного выполнения кода, обнаруженные АНБ. Две из этих уязвимостей относятся к предварительной аутентификации, а значит не требуют от злоумышленников предварительной авторизации на сервере.

Известно, что ни одна из уязвимостей не эксплуатировалась в реальных атаках:

  • CVE-2021-28480 — уязвимость удаленного исполнения кода в Microsoft Exchange Server.
  • CVE-2021-28481 — уязвимость удаленного исполнения кода в Microsoft Exchange Server.
  • CVE-2021-28482 — уязвимость удаленного исполнения кода в Microsoft Exchange Server.
  • CVE-2021-28483 — уязвимость удаленного исполнения кода в Microsoft Exchange Server.

Дополнительная информация об этих уязвимостях доступна на сайте Microsoft Tech Community.

Специалисты Google Project Zero обнаружили 0-day уязвимость в ядре Windows

Xakep #263. Кредитки в опасности

Специалисты Google Project Zero обнаружили проблему нулевого дня в ядре Windows (CVE-2020-17087). Сообщается, что данный баг может использоваться злоумышленником с локальным доступом для повышения привилегий и побега из песочницы. Хуже того, его уже применяют в целевых атаках.

Читайте также:  Windows simplix edition sp3

Уязвимость связана с работой Windows Kernel Cryptography Driver (cng.sys), а точнее функции cng!CfgAdtpFormatPropertyBlock, и относится к категории багов переполнения буфера (pool-based buffer overflow).

Исследователи опубликовали не только писание уязвимости, но и PoC-эксплоит для нее, использование которого может приводить к сбою в работе уязвимых Windows-устройств, даже если те работают под управлением системы с настройками по умолчанию.

PoC-эксплоит был протестирован на последней версии Windows 10 1903, но исследователи пишут, что уязвимость присутствует и в других версиях ОС, начиная как минимум с Windows 7.

Хотя уязвимость была найдена всего 8 дней назад, эксперты решили быстро обнародовать детали проблемы, так как ее уже применяют хакеры. Подробности об этих атаках исследователи пока не разглашают, но по информации главы Google Project Zero, Бена Хоукса (Ben Hawkes), эксплуатация CVE-2020-17087 никак не связана с президентскими выборами в США.

Интересно, что свежий баг использовался в сочетании с другой 0-day уязвимостью: CVE-2020-15999, обнаруженной совсем недавно в Google Chrome. Так, уязвимость в Chrome использовалась для запуска вредоносного кода внутри Chrome, а нулевой день в Windows пускали в ход во время второй части атаки, что позволяло злоумышленникам покинуть безопасный контейнер Chrome и выполнить код уже на уровне ОС (то есть осуществить побег из песочницы).

Патча для уязвимости пока нет, и Хоукс сообщает в Twitter, что релиз исправления ожидается лишь в следующий «вторник обновлений», то есть 10 ноября 2020 года.

Currently we expect a patch for this issue to be available on November 10. We have confirmed with the Director of Google’s Threat Analysis Group, Shane Huntley (@ShaneHuntley), that this is targeted exploitation and this is not related to any US election related targeting.

Уязвимость нулевого дня Google Chrome и Microsoft Edge опубликовали в Twitter

Исследователь безопасности Раджвардхан Агарвал обнаружил уязвимость нулевого дня для удаленного выполнения кода, которая работает в текущих версиях Google Chrome и Microsoft Edge.

ИБ-исследователь выпустил рабочий эксплойт для проверки концепции (PoC) для уязвимости движка JavaScript V8 в браузерах на основе Chromium. Он также заявил, что эта уязвимость уже исправлена ​​в последней версии движка, но неясно, когда Google развернет его в Chrome.

Читайте также:  Работа с файлами через терминал linux

Когда HTML-файл PoC и соответствующий ему файл JavaScript загружаются в браузер на основе Chromium, они используют уязвимость для запуска программы калькулятора Windows (calc.exe).

Однако, чтобы эксплойт работал, его необходимо связать с другой уязвимостью, которая позволит обойти песочницу Chromium.

Чтобы протестировать эксплойт, журналисты BleepingComputer запустили последние стабильные версии браузеров Edge 89.0.774.76 и Chrome 89.0.4389.114 с флагом —no-sandbox, который отключает песочницу Chromium.

Ранее исследователь безопасности Маттиас Буэленс уже сообщал об уязвимости в Chrome WebAssembly и движке JavaScript V8, которая может позволить злоумышленнику удаленно выполнить код. В итоге для версии Chrome 88 выпустили патч. Отмечалось, что уязвимость уже активно эксплуатировали злоумышленники.

Обнаружена 0day уязвимость повышения привилегий в Windows 7-10

Уязвимость в Windows Installer присутствует во всех актуальных системах, начиная с Windows 7, и не была исправлена последними январскими обновлениями.

По информации 0patch проблема первоначально обнаружена SandboxEscaper и заключается в том, что злоумышленник использует собственный сценарий отката (файл *.rbs) вместо сценария, созданного msiexec.exe, для модификации реестра и системных файлов, что в свою очередь приводит к локальному повышению привилегий ограниченного пользователя до уровня системы.

Эту уязвимость уже пытались исправить 4 раза (CVE-2020-16902, CVE-2020-0814, CVE-2020-1302, CVE-2019-1415), но так полностью и не исправили — в проверке использования папки C:\Config.Msi для хранения файла отката была обнаружена ошибка, из-за которой CVE-2020-16902 продолжает работать. На текущий вариант ещё нет CVE и официального исправления, однако можно принять меры самостоятельно.

Хорошая новость в том, что в серверных системах по умолчанию установка msi-пакетов разрешена только администраторам, однако этот параметр можно переопределить групповой политикой или твиком реестра (кто так сделал также уязвим). Клиентские системы же уязвимы по умолчанию, так как в них msi-пакеты разрешено устанавливать всем пользователям, в том числе с ограниченными правами.

Команда 0patch предлагает для исправления собственный микропатч, для использования которого необходимо установить их утилиту. Плюс — изменения делаются в памяти и их можно применять без перезагрузки, минус — нужно регистрироваться и держать 0patch активным.

Мой анализ ситуации показал, что для устранения уязвимости достаточно (не совсем, смотрите P. S.) запретить пользователям с ограниченными правами установку msi-пакетов, перезагрузка не нужна.

Через групповую политику это делается так:

Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Установщик Windows -> Запретить установщик Windows -> Включить (Только для необслуживаемых программ).

Равноценный твик реестра:

Windows Registry Editor Version 5.00

Значения: 0 — установка разрешена всем; 1 — только администраторам; 2 — запрещена всем.

Оцените статью
© 2024 Советы по настройке компьютера