Очередной вторник, очередной набор исправлений от Microsoft. В июльском Patch Tuesday компания из Редмонда представила более 130 обновлений для устранения уязвимостей CVE, среди которых две уже активно эксплуатируются злоумышленниками.
Активно эксплуатируемые уязвимости
Первая из двух уязвимостей, находящихся под активной эксплуатацией, — это CVE-2024-38080, ошибка повышения привилегий в Windows Hyper-V с рейтингом CVSS 7.8 из 10. Microsoft считает эту уязвимость важной. Хотя масштабы эксплуатации пока неизвестны, Microsoft отмечает, что успешная атака может позволить злоумышленнику получить системные привилегии. Dustin Childs из Zero Day Initiative подчеркнул, что эта уязвимость может быть полезна для программ-вымогателей. Если вы используете Hyper-V, протестируйте и установите это обновление.
Вторая уязвимость — CVE-2024-38112, ошибка подмены платформы MSHTML в Windows, получившая оценку CVSS 7.5. Для её эксплуатации требуется взаимодействие пользователя. Как объяснила Microsoft: «Атакующему необходимо отправить жертве вредоносный файл, который жертва должна выполнить». Haifei Li из Check Point Research обнаружил и сообщил об этой уязвимости Microsoft. Результат её эксплуатации неясен, но, вероятно, она приводит к утечке информации или ресурсов к неправильному лицу. Учитывая частоту успешных атак социальной инженерии в последнее время и тот факт, что Microsoft уже зафиксировала эксплуатацию этой уязвимости, рекомендуется установить патч до того, как следующий неосторожный клик вызовет CVE-2024-38112.
Обнародованные, но не эксплуатируемые уязвимости
Первая из двух публично раскрытых, но не эксплуатируемых уязвимостей — это CVE-2024-35264, ошибка удалённого выполнения кода в .NET и Visual Studio. Для её эксплуатации злоумышленнику необходимо создать состояние гонки для получения доступа к неподходящим данным, что может привести к удалённому выполнению кода (RCE). По словам Microsoft: «Атакующий может использовать эту уязвимость, закрыв поток http/3 во время обработки тела запроса, что приведёт к состоянию гонки». Эту ошибку обнаружил Radek Zikmund из Microsoft.
Вторая известная, но не эксплуатируемая уязвимость — CVE-2024-37985, затрагивающая операционные системы на базе Arm от Microsoft и получившая рейтинг CVSS 5.9. Это атака по стороннему каналу из 2023 года под названием FetchBench, которая может быть использована для утечки секретной информации.
Пять критических уязвимостей Microsoft
Из оставшихся уязвимостей Microsoft пять имеют критическую степень тяжести. Три из них — CVE-2024-38074, CVE-2024-38076 и CVE-2024-38077 — это ошибки RCE с рейтингом 9.8 в службе лицензирования удалённого рабочего стола Windows. Microsoft описала все три как «менее вероятные для эксплуатации». Childs из Zero Day Initiative отметил по поводу CVE-2024-38077: «Эксплуатация этой уязвимости должна быть простой, так как любой неаутентифицированный пользователь может выполнить свой код, просто отправив вредоносное сообщение на затронутый сервер». Он рекомендовал убедиться, что эти серверы недоступны через интернет: «Если множество этих серверов подключены к интернету, я ожидаю скорую эксплуатацию», предупредил Childs. «Сейчас также хорошее время для аудита ваших серверов, чтобы убедиться, что они не запускают ненужные службы».
Другие две критические уязвимости включают CVE-2024-38060 — ошибку RCE с рейтингом 8.8 в компоненте Windows Imaging Component, которую может эксплуатировать любой аутентифицированный пользователь, загрузив вредоносный файл TIFF на сервер. Также стоит отметить CVE-2024-38023 — ошибку с рейтингом 7.2 в Microsoft SharePoint Server, которая также может привести к RCE.