Вторник патчей (апрель 2021): Microsoft исправила 108 уязвимостей, включая 5 угроз нулевого дня

История с Microsoft Exchange продолжается уже второй месяц, и системным администраторам в апреле также не получится расслабиться.

В общей сложности в этот раз компании удалось исправить 108 уязвимостей, 19 из которых помечены как критические, а остальные 89 имеют статус «Важные». В данное число не входят 6 уязвимостей Microsoft Edge на Chromium, патчи для которых вышли в начале месяца.

Компания подготовила патчи для пяти уязвимостей нулевого дня, информация о которых стала общедоступной. Также известно, что, по крайней мере, одна из уязвимостей эксплуатировалась в реальных условиях.

Кроме того, Microsoft устранила четыре критические уязвимости Microsoft Exchange, обнаруженные АНБ.

Подробная информация о выпущенных накопительных обновлениях KB5001330 и KB5001337 для Windows 10 доступна на соответствующих страницах этих обновлений.

Исправлено 5 уязвимостей нулевого дня

В рамках «Вторника Патчей» Microsoft устранила четыре публично раскрытых уязвимости и одну активно используемую уязвимость.

Согласно заявлениям компании, следующие четыре уязвимости были раскрыты, но не использовались в реальных атаках:

• CVE-2021-27091 — уязвимость повышения привилегий в службе сопоставления конечных точек RPC.
• CVE-2021-28312 — уязвимость Windows NTFS, направленная на отказ в обслуживании.
• CVE-2021-28437 — уязвимость установщика Windows, связанная с раскрытием информации.
• CVE-2021-28458 — уязвимость, связанная с повышением привилегий в библиотеке Azure ms-rest-nodeauth.

Еще одна уязвимость, обнаруженная исследователем «Лаборатории Касперского» Борисом Лариным, использовалась в реальных атаках предположительно группировкой BITTER APT:

• CVE-2021-28310 — уязвимость Win32k, связанная с повышением привилегий.

В блоге Securelist «Лаборатории Касперского» сообщается:

Мы считаем, что этот эксплойт широко используется, возможно, несколькими злоумышленниками. Это эксплойт повышения привилегий (EoP), вероятнее всего, используется вместе с другими эксплойтами браузера для выхода из песочницы или получения системных привилегий для дальнейшего доступа

К сожалению, нам не удалось установить всю цепочку, поэтому мы не знаем, используется ли эксплойт в связке с другой уязвимостью нулевого дня или в сочетании с известными исправленными уязвимостями.

АНБ обнаружило еще 4 уязвимости Microsoft Exchange

Администраторы Microsoft Exchange снова не смогут расслабиться, потому что в Microsoft Exchange были исправлены еще четыре критических уязвимости удаленного выполнения кода, обнаруженные АНБ. Две из этих уязвимостей относятся к предварительной аутентификации, а значит не требуют от злоумышленников предварительной авторизации на сервере.

Известно, что ни одна из уязвимостей не эксплуатировалась в реальных атаках:

• CVE-2021-28480 — уязвимость удаленного исполнения кода в Microsoft Exchange Server.
• CVE-2021-28481 — уязвимость удаленного исполнения кода в Microsoft Exchange Server.
• CVE-2021-28482 — уязвимость удаленного исполнения кода в Microsoft Exchange Server.
• CVE-2021-28483 — уязвимость удаленного исполнения кода в Microsoft Exchange Server.

Дополнительная информация об этих уязвимостях доступна на сайте Microsoft Tech Community.

Для Windows 7 и Windows Server 2008 вышел патч против уязвимости нулевого дня

Уязвимость нулевого дня затрагивает все устройства Windows 7 и Windows Server 2008, зарегистрированные в программе расширенных обновлений безопасности Microsoft (ESU). Компания Microsoft пока не выпустила официальное исправление для клиентов ESU.

Бесплатный микропатч от 0patch предназначен для любых компьютеров Windows 7 и Server 2008 R2, как для подключенных к ESU (последние обновления от ноября 2020 года), так и без ESU (последние обновления от января 2020 года).

В настоящее время только организации малого и среднего бизнеса с действующими соглашениями о корпоративном лицензировании могут получить лицензию ESU до января 2023 года.

От некорректной настройки реестра к уязвимости нулевого дня

Уязвимость локального повышения привилегий (LPE) возникает из-за неправильной настройки двух разделов реестра служб и позволяет локальным злоумышленникам повысить свои привилегии в любой полностью обновленной системе Windows 7 и Server 2008 R2.

Проблема была обнаружена исследователем безопасности Клементом Лабро (Clement Labro). В начале этого месяца он опубликовал исследование, в котором подробно описывается, как небезопасные разрешения в разделах реестра:

позволяют злоумышленникам обойти службу RPC Endpoint Mapper с целью загрузки вредоносных DLL.

В результате они получают возможность выполнения произвольного кода в контексте службы инструментария управления Windows (WMI), которая работает с разрешениями LOCAL SYSTEM.

Митя Колсек (Mitja Kolsek) из 0patch пояснил механизм эксплуатации:

Локальный пользователь без прав администратора может создать на целевом компьютере подраздел производительности в одном из указанных выше разделов, заполнить его некоторыми значениями и запустить мониторинг производительности, что в свою очередь приведет к загрузке вредоносного DLL процессом WmiPrvSE.exe в локальной системе и выполнению произвольного кода из него.

На данный момент, если вы все еще используете Windows 7 или Windows Server 2008 R2, надежно не изолировав эти машины в сети, то предотвращение получения злоумышленником привилегий SYSTEM, вероятно, будет наименьшей из ваших беспокойств.

Бесплатный микропатч для всех затронутых устройств

Микропатчи 0patch представляют собой фрагменты кода, отправляемые в режиме реального времени через платформу 0patch клиентам Windows для исправления проблем безопасности и применяемые к запущенным процессам без перезагрузки системы.

Данный конкретный микропатч доступен бесплатно для всех пользователей, пока Microsoft не выпустит официальное исправление для решения проблем с неправильными разрешениями реестра.

В компании 0patch пояснили, что микропатч «саботирует операции мониторинга производительности двух затронутых служб: Dnsclient и RpcEptMapper».

Если для этих служб потребуется мониторинг производительности, то микропатч можно будет временно отключить. Для этого не требуется перезапуск службы, а тем более компьютера.

На демонстрационном видео показано, микропатч блокирует эксплуатацию уязвимости нулевого дня Windows LPE:

Вторник патчей (январь 2021): Уязвимость нулевого дня в Microsoft Defender

Сегодня в 21:00 по московскому времени компания Microsoft запустила доставку ежемесячных обновлений безопасности в рамках очередного «Вторника Патчей» (Patch Tuesday).

В этом месяце Редмонду удалось исправить в общей сложности 83 уязвимости во многих своих продуктах, включая операционные системы Windows, облачные сервисы, инструменты для разработчиков и корпоративные серверы.

Уязвимость нулевого дня в Microsoft Defender

Среди всех исправленных сегодня ошибок безопасности особое внимание привлекает уязвимость нулевого дня в антивирусной программе Microsoft Defender. Microsoft отмечает, что случаи реальной эксплуатации данной уязвимости уже были зарегистрированы.

Уязвимость под идентификатором CVE-2021-1647 позволяет удаленному злоумышленнику выполнить произвольный код на уязвимых устройствах после того, как жертва открыла вредоносный документ в системе с установленным Microsoft Defender.

Microsoft заверяет, что хотя реальных случаев эксплуатации не было обнаружено, используемая в атаках техника работает не во всех ситуациях и по-прежнему считается находящейся на уровне проверки концепции. Однако ошибки в коде могли применяться и для более проверенных атак.

Чтобы противодействовать будущим атакам, Microsoft выпустила исправления для Microsoft Malware Protection Engine, которые не требуют вмешательства пользователя и устанавливаются автоматически.

Microsoft исправила ранее раскрытую уязвимость повышения привилегий в Windows

Microsoft также исправила брешь в безопасности в службе splwow64 Windows, которую могли эксплуатировать злоумышленники для повышения привилегий выполнения кода.

Подробная информация о данной уязвимости с идентификатором CVE-2021-1648 была обнародована 15 декабря 2020 года в рамках проекта Trend Micro Zero-Day Initiative.

Несмотря на то, что информация об уязвимости стала общедоступной, реальные случаи ее эксплуатации не были зафиксированы.

В любом случае, администраторам Windows рекомендуется как можно скорее установить обновления безопасности, чтобы снизить риски атак.

Microsoft закрыла три уязвимости нулевого дня в Windows в апрельском пакете обновлений безопасности

14 апреля 2020 года компания Microsoft выпустила апрельский пакет обновлений безопасности для Windows 10 версий 1607, 1909, 1903 и 1809, Windows 8.1 и Windows 7, а также Windows Server 2008/2012/2016 и 2019. Этот апрельский комплект патчей безопасности устраняет 113 уязвимостей в одиннадцати программных продуктах компании. Среди них: 15 критических уязвимостей, включая три нулевого дня, 93 серьезные, три со средним уровнем угроз и две уязвимости с низким уровнем влияния на систему. Причем две закрытые уязвимости нулевого дня ранее уже некоторое время эксплуатировались злоумышленниками.

Закрытые в апреле 2020 года специалистами Microsoft уязвимости нулевого дня были обнаружены ранее экспертами по ИБ из Google Project Zero и Threat Analysis Group, это:

• CVE-2020-1020 — уязвимость удаленного исполнения кода в библиотеки шрифтов Windows Adobe Type Manager Library (atmfd.dll), используемую Windows для обработки шрифтов PostScript Type 1. Эксплуатация уязвимости могла производиться злоумышленником удаленно от имени пользователя. Данная проблема затронула все версии пользовательские и серверные версии Windows, кроме Windows 10;
• CVE-2020-0938 — вторая уязвимость, которая также была обнаружена в библиотеке Windows Adobe Type Manager Library, но информация о ней появилась лишь недавно. Вдобавок эксплуатации этой уязвимости препятствовали ранее рекомендованные специалистами Microsoft меры по снижению рисков, такие как отключение Preview Pane и Details Pane, то есть панелей предварительного просмотра и сведений, отключение службы WebClient, а также переименование ATMFD.DLL.;
• CVE-2020-1027 — уязвимость ядра Windows, позволяющая злоумышленникам запускать код с повышенными привилегиями и получить полный доступ к ядру системы.

Microsoft не раскрыла подробную информацию по закрытым уязвимостям, чтобы дать пользователям время на установку патчей и таким образом помешать злоумышленникам использовать их в настоящее время и разработать для них PoC-эксплоиты.

Примечательно, что в марте 2020 года Microsoft в рамках вторника патчей (Patch Tuesday) устранила 115 уязвимостей в Windows, 26 из которых были критическими, а 88 представляли серьезную опасность. Таким образом, в компании внимательно следят за текущей ситуацией в области безопасности своего ПО и стараются прорабатывать все обнаруженные проблемы, а не откладывать их не некоторое время из-за загруженности своих разработчиков, большая часть которых работает удаленно.

Ранее 6 апреля 2020 года стало известно, что Microsoft выкупила домен corp.com по соображениям безопасности, потратив на это достаточно крупную сумму. «Мы призываем клиентов придерживаться мер безопасности при создании внутренних доменных и сетевых имен, чтобы защитить корпоративные сети. Мы выпустили рекомендации по безопасности в июне 2009 года, а также обновление системы безопасности, которое помогает обеспечить безопасность клиентов. В рамках нашей постоянной приверженности обеспечению безопасности клиентов мы также приобрели домен Corp.com», — пояснила Microsoft.

24 марта 2020 года Microsoft сообщила, что в компании решили начиная с мая 2020 года приостановить выпуск всех необязательных обновлений (так называемые обновления C и D), которые не связаны с безопасностью программных продуктов, для всех поддерживаемых в настоящее время клиентских и серверных версий ОС Windows. Таким образом, Microsoft устанавливает максимальный приоритет на безопасности, чтобы в текущей ситуации обеспечить стабильность, надежность и продуктивность всех версий ОС Windows, установленных у пользователей.

20 марта 2020 года Microsoft объявила в своем блоге, что компания приостанавливает разработку стабильной версии нового браузера Edge под номером 81, в связи со сложными текущими проблемами у сотрудников и возникшими «глобальными обстоятельствами».

19 марта 2020 года Microsoft объявила, что продлевает на шесть месяцев дату окончания поддержки ОС Windows 10 версии 1709 для корпоративного и образовательного сегмента (Windows 10 Enterprise, Education и IoT Enterprise). Теперь обновления безопасности для Windows 10 версии 1709 будут выходить до 13 октября 2020 года. Ранее срок окончания поддержки этой версии ОС для корпоративных пользователей и образовательных учреждений был установлен на 14 апреля 2020 года. А с 14 апреля 2020 года стало известно, что Microsoft обновила даты окончания поддержки для Windows 10 версии 1809 и более старых программ и служб. Для Windows 10 версии 1809 последнее обновление выйдет 10 ноября 2020 года вместо 12 мая 2020 года. Также временно приостанавливаются обновления функций для выпусков Home и Pro, работающих на версии 1809. Данная мера принимается для обеспечения стабильной работы организаций во время пандемии коронавируса.

12 марта Microsoft экстренно выпустила патч KB4551762 для Windows 10 версии 1903 и версии 1909, а также Windows Server версии 1903 и версии 1909. Уязвимость CVE-2020-0796 в протоколе сетевой коммуникации Microsoft Server Message Block 3.1.1 (SMBv3) позволяет взломать SMB-сервер и SMB-клиент под управлением Windows 10 версии 1903, Windows Server версии 1903 (установка Server Core), Windows 10 версии 1909 и Windows Server версии 1909 (установка Server Core).

В свежей Windows 10 уже обнаружена уязвимость нулевого дня

Независимая ИБ-исследовательница под ником SandboxEscaper опубликовала эксплойт к актуальной версии Windows 10. Уязвимость Планировщика заданий (Task Scheduler) позволяет взломщику получить дополнительные права в системе и открыть файлы с уровнем доступа SYSTEM.

Новость появилась практически одновременно с выпуском очередного пакета обновлений Windows 10. Эксперты CERT/CC подтвердили работоспособность эксплойта на 64- и 32-битных версиях систем с последними патчами, а также Windows Server 2016 и 2019. Пользователей Windows 7 и 8 угроза не коснулась.

Проблема оказалась связана с обратной совместимостью Планировщика заданий, конкретно — с механизмом обработки задач в формате JOB, который использовался еще в Windows XP. Эти файлы разграничивают права пользователей через так называемые списки избирательного управления доступом (discretionary access control lists, DACL). Как выяснилось, в отсутствие этих элементов система снимает ограничения, позволяя любому пользователю работать с данными.

За последний год это уже пятый эксплойт за авторством SandboxEscaper. В августе 2018 года она опубликовала еще одну уязвимость Task Scheduler — ошибка интерфейса ALPC позволяла обычному пользователю получить администраторские привилегии. Далее, в октябре, девушка продемонстировала способ подменять легитимные DLL-библиотеки приложений на скомпрометированные. Третий и четвертый эксплойты, позволявшие читать любые файлы и переписывать данные в уязвимой системе, были опубликованы в декабре.

По словам SandboxEscaper, она обнаружила еще три 0-day для несанкционированного повышения прав и одну уязвимость для выхода из песочницы. Эти баги предлагаются к продаже любым «не-западным» заказчикам. Стоимость каждой бреши — 60 тыс. в неназванной валюте.