Microsoft выпустила очередной пакет обновлений безопасности Patch Tuesday, устранив впечатляющие 90 уязвимостей в экосистеме Windows. Среди них Центр реагирования на угрозы безопасности Microsoft выявил пять критических уязвимостей Windows, которые в настоящее время находятся под активной кибератакой. Срочность, связанная с этими уязвимостями нулевого дня, побудила Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) включить их в каталог известных эксплуатируемых уязвимостей (KEV), требуя соблюдения до 3 сентября.
Приоритетное устранение уязвимостей для соответствия активности угроз
Хотя крайний срок 3 сентября в первую очередь касается определенных федеральных гражданских исполнительных агентств в соответствии с Директивой 22-01 правительства США, он служит напоминанием для всех организаций и частных лиц оставаться бдительными. CISA подчеркивает, что каталог KEV является ресурсом для сообщества кибербезопасности и защитников сетей, направленным на помощь организациям в эффективном управлении уязвимостями и поддержании темпа с развивающимися угрозами. Для уменьшения воздействия кибератак важно, чтобы все субъекты—как организации, так и потребители—приоритизировали обновления систем, устраняющие известные уязвимости.
Для большинства потребителей это просто означает обеспечение полной установки последних обновлений Patch Tuesday. Однако организации, которые должны тестировать обновления перед развертыванием, должны интегрировать записи KEV в процесс приоритизации управления патчами, особенно учитывая потенциальные риски, связанные с нетестированными обновлениями.
Пять уязвимостей нулевого дня Windows за август 2024 года
Первая уязвимость, CVE-2024-38178, связана с проблемой повреждения памяти в скриптовом движке Windows, что потенциально позволяет злоумышленнику выполнять удаленный код на пораженной системе. Оцененная на 7.6 по степени серьезности, эта уязвимость затрагивает Windows 10, Windows 11 и Windows Server 2012 и более поздние версии. Крис Геттл, вице-президент по управлению продуктами безопасности в Ivanti, советует классифицировать это обновление как более приоритетное, чем его первоначальный рейтинг, подчеркивая необходимость быстрой ремедиации.
Далее, CVE-2024-38213 включает обход функции безопасности Windows «Mark of the Web», что может позволить злоумышленнику обойти защиту SmartScreen на Windows 10, Windows 11 и Windows Server 2012 и более поздних версиях. Кев Брин, старший директор по исследованию киберугроз в Immersive Labs, отмечает, что хотя эту уязвимость нельзя эксплуатировать самостоятельно, она часто является частью более крупной цепочки эксплуатации, такой как модификация вредоносного документа или исполняемого файла.
CVE-2024-38193 представляет собой уязвимость повышения привилегий в дополнительном драйвере функций Windows для WinSock, затрагивающую Windows 10, Windows 11 и Windows Server 2008 и более поздние версии. Адам Барнетт, ведущий инженер-программист Rapid7, подчеркивает, что успешная эксплуатация может привести к привилегиям SYSTEM из-за низкой сложности атаки и отсутствия необходимости во взаимодействии с пользователем.
Еще одна критическая проблема, CVE-2024-38106, представляет собой уязвимость повышения привилегий ядра Windows, затрагивающую Windows 10, Windows 11 и Windows Server 2016 и более поздние версии. Майк Уолтерс, президент и соучредитель Action1, объясняет, что эта уязвимость возникает из-за недостаточной защиты чувствительных данных, хранящихся в памяти, что позволяет злоумышленникам с низкими привилегиями повышать свои привилегии. Хотя эксплуатация этой уязвимости представляет собой сложность из-за необходимости точного времени, потенциальные последствия требуют немедленного внимания.
Наконец, CVE-2024-38107 представляет собой уязвимость повышения привилегий типа use-after-free.