CVE-2021-1647 — 0-day Remote Code Execution уязвимость в Microsoft Defender. Суть ее в том, что злоумышленник может выполнить произвольный код, используя уязвимую библиотеку mpengine.dll, которая является компонентом Microsoft Defender. Уязвимые версии Defender находятся во всех версиях Windows, начиная с Windows Server 2008 и Windows 7. Как сообщает Microsoft, PoC доступен публично и уже были зафиксированы попытки эксплуатации уязвимости.
Для ее исправления можно либо установить январские обновления безопасности, либо просто обновить Microsoft Defender до последней версии. Уязвимыми являются версии до 1.1.17600.5 включительно.
CVE-2021-1648 — новая Elevation of Privileges уязвимость в splwow64, которая является следствием неудачного исправления для 0-day уязвимости CVE-2020-0986 в июне 2020 года. Выяснилось, что достаточно внести небольшие исправления в PoC для CVE-2020-0986, чтобы обойти исправления.
Несмотря на то, что попыток эксплуатации уязвимости в атаках не зафиксировано, описание было опубликовано в конце декабря, поэтому обновиться стоит как можно скорее.
CVE-2021-1658, CVE-2021-1660, CVE-2021-1666, CVE-2021-1667, CVE-2021-1673 — критические Remote Code Execution уязвимости в Remote Procedure Call Runtime, позволяющие злоумышленнику удаленно передавать команды и выполнять произвольный код через RPC.
Информации о существующих публичных PoC, а также о подтвержденных попытках эксплуатации нет.
Отдельно стоит отметить недавно обнаруженную 0-day Local Privilege Escalation уязвимость в PsExec, которая позволяет злоумышленнику получить системные привилегии. Уязвимыми являются все версии PsExec за последние 14 лет: от 1.72 до 2.2. Эксплуатация возможна во всех версиях Windows, начиная с Windows XP. Тем не менее, Microsoft никак не исправила уязвимость в январских обновлениях, а выпущенная в начале 2021 года новая версия PsExec 2.30 также является уязвимой после небольшой доработки PoC.
Единственным существующим исправлением на данный момент является патч от 0patch, применимый только к последним версиям PsExec.
Павел Зыков, аналитик угроз отдела расследования инцидентов JSOC CERT
edo1h
в описании на сайте ms «Attack vector: Local». не понимаю.
Sergey-S-Kovalev
Если совсем грубо: код запускается локально под правами пользователя, и через уязвимую библиотеку получает системные привилегии.
edo1h
Так почему в названии cve стоит remote?