Microsoft выпустила январские обновления безопасности. В этом месяце исправлено 83 уязвимости, 10 из которых критические, включая одну 0-day. Рассказываем, на какие из них стоит обратить особое внимание.

image

CVE-2021-1647 — 0-day Remote Code Execution уязвимость в Microsoft Defender. Суть ее в том, что злоумышленник может выполнить произвольный код, используя уязвимую библиотеку mpengine.dll, которая является компонентом Microsoft Defender. Уязвимые версии Defender находятся во всех версиях Windows, начиная с Windows Server 2008 и Windows 7. Как сообщает Microsoft, PoC доступен публично и уже были зафиксированы попытки эксплуатации уязвимости.

Для ее исправления можно либо установить январские обновления безопасности, либо просто обновить Microsoft Defender до последней версии. Уязвимыми являются версии до 1.1.17600.5 включительно.

CVE-2021-1648 — новая Elevation of Privileges уязвимость в splwow64, которая является следствием неудачного исправления для 0-day уязвимости CVE-2020-0986 в июне 2020 года. Выяснилось, что достаточно внести небольшие исправления в PoC для CVE-2020-0986, чтобы обойти исправления.

Несмотря на то, что попыток эксплуатации уязвимости в атаках не зафиксировано, описание было опубликовано в конце декабря, поэтому обновиться стоит как можно скорее.

CVE-2021-1658, CVE-2021-1660, CVE-2021-1666, CVE-2021-1667, CVE-2021-1673 — критические Remote Code Execution уязвимости в Remote Procedure Call Runtime, позволяющие злоумышленнику удаленно передавать команды и выполнять произвольный код через RPC.

Информации о существующих публичных PoC, а также о подтвержденных попытках эксплуатации нет.

Отдельно стоит отметить недавно обнаруженную 0-day Local Privilege Escalation уязвимость в PsExec, которая позволяет злоумышленнику получить системные привилегии. Уязвимыми являются все версии PsExec за последние 14 лет: от 1.72 до 2.2. Эксплуатация возможна во всех версиях Windows, начиная с Windows XP. Тем не менее, Microsoft никак не исправила уязвимость в январских обновлениях, а выпущенная в начале 2021 года новая версия PsExec 2.30 также является уязвимой после небольшой доработки PoC.

Единственным существующим исправлением на данный момент является патч от 0patch, применимый только к последним версиям PsExec.

Павел Зыков, аналитик угроз отдела расследования инцидентов JSOC CERT