Июльский Patch Tuesday: Microsoft исправила 143 уязвимости

В рамках регулярного «вторника исправлений» компания Microsoft опубликовала обновления безопасности, устраняющие 143 уязвимости, две из которых уже активно эксплуатируются злоумышленниками. Эти исправления дополняются 33 уязвимостями, которые были устранены в браузере Edge на основе Chromium в течение последнего месяца.

Ниже приведены две активно эксплуатируемые уязвимости из списка Microsoft:

• CVE-2024-38080 (оценка CVSS: 7.8) — уязвимость повышения привилегий в Windows Hyper-V.
• CVE-2024-38112 (оценка CVSS: 7.5) — уязвимость подмены платформы Windows MSHTML.

По словам компании, для успешной эксплуатации CVE-2024-38112 злоумышленнику необходимо отправить жертве вредоносный файл, который она затем должна запустить самостоятельно. Исследователь безопасности из Check Point Хайфэй Ли сообщил, что злоумышленники используют специально созданные URL-файлы, которые перенаправляют жертв на вредоносные сайты через устаревший браузер Internet Explorer. Это позволяет скрыть вредоносное расширение «.HTA», что облегчает эксплуатацию уязвимости даже на современных операционных системах, включая Windows 10 и 11.

CVE-2024-38080, в свою очередь, представляет собой уязвимость повышения привилегий в Windows Hyper-V. По словам старшего инженера по исследованию безопасности Tenable Сатнама Наранг, локальный аутентифицированный злоумышленник может использовать эту уязвимость для повышения привилегий до уровня SYSTEM после первоначальной компрометации системы. Это первая уязвимость Hyper-V из 44 известных, которая эксплуатируется с 2022 года.

Также стоит выделить две другие уязвимости, которые уже были публично раскрыты:

• CVE-2024-37985 (оценка CVSS: 5.9) — атака через побочный канал FetchBench, позволяющая злоумышленнику просматривать память кучи привилегированного процесса на системах на базе Arm.
• CVE-2024-35264 (оценка CVSS: 8.1) — уязвимость удалённого выполнения кода, влияющая на .NET и Visual Studio. По данным Microsoft, злоумышленник может использовать эту уязвимость, закрыв http/3 поток во время обработки тела запроса, что приведёт к состоянию гонки и потенциальной удалённой эксплуатации.

Microsoft также устранила 37 уязвимостей удалённого выполнения кода в SQL Server Native Client OLE DB Provider, 20 уязвимостей обхода функций безопасности Secure Boot, три уязвимости повышения привилегий в PowerShell и одну уязвимость подмены в протоколе RADIUS (CVE-2024-3596, известную как BlastRADIUS ).

Грег Вайсман, ведущий менеджер продукта Rapid7, отметил, что уязвимости в SQL Server затрагивают не только серверы, но и клиентский код, использующий уязвимые версии драйвера соединения. Злоумышленники могут использовать социальную инженерию, чтобы заставить аутентифицированного пользователя подключиться к базе данных SQL Server, настроенной на возврат вредоносных данных, что приведёт к выполнению произвольного кода на клиентском устройстве.

Заключительной по важности является уязвимость CVE-2024-38021 (оценка CVSS: 8.8), которая позволяет удалённо выполнять код в Microsoft Office. По данным компании Morphisec, данная уязвимость не требует аутентификации и представляет серьёзную угрозу из-за возможности эксплуатации без взаимодействия с пользователем. Атака позволяет злоумышленнику получить высокие привилегии, включая возможность чтения, записи и удаления данных.

Все эти исправления были выпущены вскоре после того, как Microsoft с целью повышения прозрачности и безопасности объявила о планах начать присваивать идентификаторы CVE для всех уязвимостей, связанных с облачными технологиями.