Неудивительное число
Корпорация Microsoft выпустила кумулятивный патч для своих продуктов, исправляющий в общей сложности 118 уязвимостей.
Две из них активно эксплуатируются киберзлоумышленниками. Три считаются критическими. 113 обозначены как важные или высокоопасные, ещё две — средней степени угрозы.
Обновления не включают 25 патчей для браузера Edge, опубликованные в сентябре 2024 г.
Пяти уязвимостям из списка CVE-индексы были присвоены заранее, то есть, информация о них была опубликована до выхода обновлений.
К ним относятся: CVE-2024-43572 (оценка по шкале CVSS: 7,8) — уязвимость удаленного выполнения кода консоли управления Microsoft (эксплуатируется в атаках); CVE-2024-43573 (оценка CVSS: 6,5) — уязвимость, допускающая подмену значений в платформе Windows MSHTML (обнаружена эксплуатация); CVE-2024-43583 (оценка CVSS: 7,8) — уязвимость повышения привилегий Winlogon; CVE-2024-20659 (оценка CVSS: 7,1) — уязвимость обхода функции безопасности Windows Hyper-V; CVE-2024-6197 (оценка CVSS: 8,8) — уязвимость удаленного выполнения кода Curl с открытым исходным кодом (CVE-индекс присвоен сторонними исследователями).
Как легко заметить, атаки направлены не на самые опасные уязвимости. Тем не менее, злоумышленники небезуспешно их эксплуатируют.
«Баг» CVE-2024-43573 напоминает две другие уязвимости подмены MSHTML — CVE-2024-38112 и CVE-2024-43461, которыми активно пользовалась кибергруппировка Void Banshee для распространения вредоноса Atlantida Stealer.
Microsoft воздержалась от публикации сведений о том, кто и как эксплуатирует две устранённые уязвимости. Более того, для «бага» CVE-2024-43572 указаны имена обнаруживших его исследователей, а для CVE-2024-43573 — нет, и это, по мнению издания The Hacker News, может означать, что речь идёт о дефективном патче для какой-то из более ранних уязвимостей.
Агентство по кибербезопасности и защите инфраструктуры США (CISA) предписало всем государственным учреждениям установить исправления к данным уязвимостям не позднее 29 октября.
- Сегодня уже никого не удивить сотнями патчей, выпущенными в один день; к тому же, речь идёт о большом количестве разных продуктов, так что 118 исправлений — это сравнительно немного, — считает Никита Павлов, эксперт по информационной безопасности компании SEQ. — Но, видимо, пройдёт ещё немало времени, прежде чем в компании будет реализована концепция безопасной разработки в полной мере и исправление уязвимостей станет исключением, а не регулярным «ритуалом» по вторникам.
Угроза, близкая к максимальной
Наибольшую номинальную угрозу из всех устранённых в этот раз уязвимостей представляет CVE-2024-43468, набравшая 9,8 баллов по шкале CVSS. Этот «баг» в Microsoft Configuration Manager позволяет неавторизованным хакерам запускать произвольные команды посредством специальных запросов. Они обрабатываются небезопасным манером, так что появляется возможность захватывать контроль над сервером и его базой данных.
Ещё две критические уязвимости затрагивают расширение Visual Studio Code для Arduino (CVE-2024-43488, 8,8 балла) и сервер протокола RDP (CVE-2024-43582, 8,1 балл).
Во втором случае эксплуатация достаточно проблематична: в уязвимой среде необходимо сперва вызвать состояние гонки, и только тогда открывается возможность небезопасного доступа к памяти, в результате чего можно запустить произвольный код в контексте службы RPC.