Злоумышленники в настоящее время активно используют значительное количество уязвимостей, раскрытых Microsoft в августовском обновлении безопасности. Из 90 уязвимостей шесть стали первоочередной задачей для системных администраторов в этот Patch Tuesday. Среди них четыре уязвимости Common Vulnerabilities and Exposures (CVEs) были известны до объявления 13 августа, что классифицирует их как нулевые дни, хотя на данный момент они не эксплуатируются активно. Особенно выделяется уязвимость повышения привилегий (EoP) в стеке обновлений Windows, идентифицированная как CVE-2024-38202, из-за отсутствия патча от Microsoft.
Неисправленная уязвимость нулевого дня
Эта неисправленная уязвимость позволяет злоумышленнику с базовыми пользовательскими привилегиями потенциально повторно вводить ранее смягченные уязвимости или обходить определенные функции безопасности на основе виртуализации (VBS). Microsoft классифицировала этот недостаток как умеренно серьезный, так как он требует обмана администратора или пользователя с делегированными разрешениями для выполнения восстановления системы. Однако Скотт Кавеза, инженер-исследователь в Tenable, предупреждает, что если злоумышленник объединит CVE-2024-38202 с CVE-2024-21302, другой уязвимостью EoP, влияющей на защищенное ядро Windows, они смогут откатывать обновления программного обеспечения без необходимости взаимодействия с привилегированным пользователем. Кавеза отмечает, что хотя каждую уязвимость можно эксплуатировать независимо, их комбинация может привести к более серьезным последствиям.
Всего семь уязвимостей, раскрытых в этом обновлении, были оценены как критические. Оставшиеся 79 CVEs, включая те, которые находятся под активной эксплуатацией, были признаны "важными" или средней серьезности, главным образом из-за необходимости некоторого уровня взаимодействия пользователя для эксплуатации. Дастин Чайлдс, глава отдела осведомленности о угрозах в Zero Day Initiative (ZDI) компании Trend Micro, отметил необычный характер наличия столь большого количества публично известных или активно атакуемых уязвимостей в одном выпуске.
Нулевые дни под активной эксплуатацией
Среди уязвимостей, находящихся под активной атакой, две позволяют удаленное выполнение кода (RCE) на затронутых системах. Одна из них, CVE-2024-38189, затрагивает удаленный код Microsoft Project и представляет риск для организаций, отключивших настройки уведомлений VBA Macro. В таких случаях злоумышленник может выполнить произвольный код удаленно, убедив пользователя открыть вредоносный файл Microsoft Office Project. Чайлдс выразил удивление по поводу наличия уязвимости выполнения кода в Project, особенно учитывая ее активную эксплуатацию.
Вторая уязвимость нулевого дня RCE, CVE-2024-38178, связана с проблемой повреждения памяти в Windows Scripting Engine Memory или Script Host. Успешная эксплуатация требует от цели работы в режиме Internet Explorer браузера Edge и взаимодействия с специально созданным URL. Кев Брин, старший директор по исследованиям угроз в Immersive Labs, подчеркнул, что хотя режим Internet Explorer не является стандартным для большинства пользователей, его активная эксплуатация указывает на то, что некоторые организации все еще полагаются на эту конфигурацию для устаревших приложений.
Три дополнительных нулевых дня, которые активно эксплуатируются—CVE-2024-38106, CVE-2024-38107 и CVE-2024-38193—позволяют злоумышленникам повышать привилегии до уровня системного администратора. Среди них CVE-2024-38106 вызывает особую озабоченность из-за ее наличия в ядре Windows, где состояние гонки в сочетании с неправильным управлением памятью может привести к утечке конфиденциальных данных. Две другие уязвимости, затрагивающие Windows Power Dependency и Windows Ancillary Function Driver for WinSock, также позволяют получить системные привилегии. Брин отметил, что злоумышленнику необходимо было бы предварительно выполнить код на машине жертвы для эксплуатации этих недостатков.