На прошлой неделе, 11 января, компания Microsoft выпустила очередной ежемесячный набор патчей для собственных продуктов. Всего было закрыто 97 уязвимостей. Девять уязвимостей классифицированы как критические, а из них наибольший интерес представляет проблема CVE-2022-21907 в модуле HTTP.sys, реализации протокола HTTP в ОС Windows.

Уязвимость получила рейтинг опасности в 9,8 балла по шкале CVSS и может приводить к выполнению произвольного кода. Ошибка — вполне ожидаемая для стека HTTP: некорректная обработка входящих пакетов данных. А вот список уязвимых версий ОС оказался относительно сложным. Проблема появилась в Windows 10 версии 1809 и Windows Server 2019, но в них эксплуатация уязвимости с настройками по умолчанию невозможна — чтобы воспользоваться ею, нужно специально изменить один из параметров работы с протоколом. В версии Windows 10 1909 уязвимый код в принципе отсутствует, а вот в более поздних релизах, включая Windows 10 20H2, Windows 11 и Windows Server 2022, он есть. Что самое неприятное — Microsoft классифицирует уязвимость как Wormable, то есть уже взломанные системы можно использовать для дальнейшего развития атаки.

В наполовину уязвимых ранних сборках Windows 10 и Windows Server компания Microsoft рекомендует проверить наличие ключа EnableTrailerSupport в реестре по этому пути:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters

И удалить его, если он есть: включение данного параметра активирует и уязвимость. Ошибка в первую очередь затрагивает серверы под управлением Windows, но библиотека для работы по протоколу HTTP может быть задействована и на конечных устройствах. Похожая проблема в HTTP.sys уже была закрыта ранее. В мае 2021 года Microsoft выпустила патч для уязвимости CVE-2021-31166 в Windows 10 сборок 2004 и 20H2, а также в Windows Server.

Помимо уязвимости в библиотеке HTTP набор патчей закрывает еще восемь критических уязвимостей, включая серьезные проблемы в Microsoft Office (CVE-2022-21840) и Microsoft Exchange (CVE-2022-21846). Через два дня после релиза кумулятивного патча часть апдейтов для Windows Server была отозвана из-за многочисленных сбоев после установки.

Что еще произошло

Специалисты компании Orca Security утверждают, что нашли серьезнейшую проблему в облачной инфраструктуре сервиса Amazon Web Services. Используя уязвимость в сервисе Cloudformation, они смогли получить «админский» доступ ко всей инфраструктуре AWS. Уязвимость была закрыта в течение суток, а распространение апдейта по всем регионам присутствия AWS заняло шесть дней.

Эксперты «Лаборатории Касперского» анализируют вредоносный код, распространяемый APT-группой BlueNoroff. Одна из задач группировки — кража криптовалюты. В частности, при обнаружении популярного расширения Metamask для браузера вредоносный код подменяет легитимный софт на модифицированную копию, которая на лету изменяет детали транзакции в криптовалюте.

Опубликовано подробное описание RCE-уязвимости в Android-версии приложения Adobe Reader. Исследователь, обнаруживший проблему, ранее получил 10 тысяч долларов по программе bug bounty Google Play Security.

Эксперты издания Vice пишут про удаленный взлом автомобилей Tesla. Проблема была обнаружена не в инфраструктуре автопроизводителя и не в самих авто, а в стороннем приложении, которое может использоваться для удаленного управления.