На недавнем вторнике Microsoft представила значительное обновление, устраняющее в общей сложности 90 уязвимостей безопасности, включая 10 уязвимостей нулевого дня, шесть из которых в настоящее время активно эксплуатируются. Среди этих уязвимостей девять классифицированы как критические, в то время как большинство, 80, считаются важными, и одна оценена как умеренная. Этот выпуск следует за решением 36 уязвимостей в браузере Edge всего месяц назад.
Детали уязвимостей
Обновления Patch Tuesday особенно примечательны своим фокусом на шести активно эксплуатируемых уязвимостях нулевого дня:
- CVE-2024-38189 (CVSS score: 8.8) – Уязвимость удаленного выполнения кода в Microsoft Project
- CVE-2024-38178 (CVSS score: 7.5) – Уязвимость повреждения памяти в Windows Scripting Engine
- CVE-2024-38193 (CVSS score: 7.8) – Уязвимость повышения привилегий в драйвере вспомогательных функций для WinSock
- CVE-2024-38106 (CVSS score: 7.0) – Уязвимость повышения привилегий в ядре Windows
- CVE-2024-38107 (CVSS score: 7.8) – Уязвимость повышения привилегий в координаторе зависимости питания Windows
- CVE-2024-38213 (CVSS score: 6.5) – Уязвимость обхода функции безопасности Mark of the Web в Windows
Среди них выделяется CVE-2024-38213, которая позволяет злоумышленникам обходить защиту SmartScreen. Эта уязвимость требует от злоумышленника отправить пользователю вредоносный файл и убедить его открыть его. Уязвимость была обнаружена и сообщена Питером Гирнусом из Trend Micro и может служить обходом ранее эксплуатируемых уязвимостей, связанных с операторами DarkGate malware.
В свете этих событий Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) добавило эти уязвимости в свой каталог известных эксплуатируемых уязвимостей (KEV), требуя от федеральных агентств внедрить необходимые исправления до 3 сентября 2024 года.
Публично известные уязвимости
Четыре из уязвимостей являются публично известными:
- CVE-2024-38200 (CVSS score: 7.5) – Уязвимость подделки в Microsoft Office
- CVE-2024-38199 (CVSS score: 9.8) – Уязвимость удаленного выполнения кода в службе Line Printer Daemon (LPD) Windows
- CVE-2024-21302 (CVSS score: 6.7) – Уязвимость повышения привилегий в защищенном режиме ядра Windows
- CVE-2024-38202 (CVSS score: 7.3) – Уязвимость повышения привилегий в стеке обновлений Windows
Скотт Кавеза, инженер по исследованиям в Tenable, отметил риски, связанные с CVE-2024-38200, подчеркнув, что злоумышленники могут использовать эту уязвимость, заманивая жертв открыть специально созданные файлы, часто доставляемые через фишинговые письма. Последствия могут привести к раскрытию хешей New Technology Lan Manager (NTLM), которые могут быть использованы в дальнейших атаках.
Обновления также устраняют уязвимость повышения привилегий в компоненте Print Spooler (CVE-2024-38198, CVSS score: 7.8), позволяющую злоумышленнику получить привилегии SYSTEM, хотя успешная эксплуатация требует обхода состояния гонки.
Однако Microsoft еще не предоставила обновления для CVE-2024-38202 и CVE-2024-21302, которые представляют риски атак понижения версии против архитектуры обновлений Windows, потенциально позволяя замену текущих файлов операционной системы на более старые версии.
Кроме того, отчет от Fortra привлек внимание к уязвимости отказа в обслуживании (DoS) в драйвере Common Log File System (CLFS) (CVE-2024-6768, CVSS score: 6.8), которая может привести к сбою системы при успешной эксплуатации.