Предисловие

Вчера Microsoft подарила миру целую порцию любви в виде исправлений, чтобы заткнуть десятки дыр в безопасности своих операционных систем Windows и другого программного обеспечения. Специальный патч ко Дню святого Валентина, выпущенный в этом году во вторник, включает исправления для целых трех различных уязвимостей «нулевого дня», которые уже активно используются в атаках.

Рекомендации Microsoft по безопасности несколько скудны подробностями об ошибках нулевого дня. Компания Redmond отмечает CVE-2023–23 376 как «важную» уязвимость с повышением привилегий в драйвере файловой системы Windows Common Log, который присутствует в системах Windows 10 и 11, а также во многих серверных версиях Windows.

«К сожалению, достоверной информации об этом повышении привилегий очень мало», — сказал Дастин Чайлдс, руководитель отдела информирования об угрозах в инициативе Trend Micro.

«Microsoft действительно отмечает, что уязвимость позволила бы злоумышленнику использовать код как систему, что позволило бы им полностью захватить цель. Скорее всего, это связано с ошибкой удаленного выполнения кода для распространения вредоносного ПО или программ‑вымогателей. Учитывая, что это было обнаружено Центром анализа угроз Microsoft, это может означать, что оно использовалось злоумышленниками. В любом случае, убедитесь, что вы быстро протестировали и внедрили эти исправления.»

Исправление уязвимостей

CVE-2023–21 715 нулевого дня — это слабое место в Microsoft Office, которое Редмонд описывает как «уязвимость для обхода функций безопасности».

«Microsoft перечисляет это как активный эксплойт, но они не предоставляют никакой информации о том, насколько широко могут быть распространены эти эксплойты», — сказал Чайлдс.

«Судя по описанию, это больше похоже на повышение привилегий, чем на обход функции безопасности, но, несмотря на это, активные атаки в обычном корпоративном приложении не следует игнорировать. Всегда вызывает тревогу, когда функция безопасности не просто обходится, но и используется. Будем надеяться, что исправление всесторонне решит проблему».

Третьим недостатком нулевого дня, которое уже используется,это CVE-2023–21 823, которая является еще одним недостатком с повышением привилегий — на этот раз в графическом компоненте Microsoft Windows. Исследователям из криминалистической фирмы Mandiant, занимающейся кибербезопасностью, приписывают сообщение об ошибке.

Кевин Брин, директор по исследованиям киберугроз в Immersive Labs, отметил, что бюллетень по безопасности для CVE-2023–21 823 специально называет OneNote уязвимым компонентом для этой уязвимости.

«В последние недели мы наблюдаем рост использования файлов OneNote в рамках целевых кампаний по распространению вредоносных программ», — сказал Брин.

«Исправления для этого поставляются через магазины приложений, а не через обычные форматы, поэтому важно дважды проверить политику вашей организации».

Корпорация Microsoft исправила еще одну уязвимость Office в CVE-2023–21 716, которая представляет собой ошибку Microsoft Word, которая может привести к удаленному выполнению кода — даже если заминированный документ Word просто просматривается на панели предварительного просмотра Microsoft Outlook. Эта дыра в системе безопасности имеет оценку CVSS (важность) 9,8 из 10 возможных.

У Microsoft также есть дополнительные валентинки для организаций, которые полагаются на Microsoft Exchange Server для обработки электронной почты. Редмонд исправил три ошибки сервера Exchange (CVE-2023–21 706, CVE-2023–21 707 и CVE-2023–21 529), все из которых, по словам Microsoft, являются ошибками удаленного выполнения кода, которые, вероятно, будут использованы.

Microsoft заявила, что для использования этих ошибок требуется аутентификация, но опять же, группы угроз, которые атакуют уязвимости Exchange, также склонны фишировать цели для получения их учетных данных Exchange.

Microsoft не одинока в отказе от исправлений пугающих, плохо описанных недостатков нулевого дня. 13 февраля Apple выпустила обновление для iOS, которое устраняет уязвимость нулевого дня в Webkit, браузерном движке Apple с открытым исходным кодом. Йоханнес Ульрих из центра SANS Internet Storm Center отмечает, что в дополнение к проблеме с WebKit Apple исправила проблему с повышением привилегий. Оба недостатка исправлены в iOS 16.3.1.

«Эта проблема с повышением привилегий может быть использована для выхода из „песочницы“ браузера и получения полного доступа к системе после выполнения кода через уязвимость WebKit», — предупредил Ульрих.

RIP IE11

На более легкой ноте (надеюсь) Microsoft забила последний гвоздь в крышку гроба Internet Explorer 11 (IE11). По словам Редмонда, вышедшее из‑под поддержки настольное приложение IE11 было навсегда отключено в некоторых версиях Windows 10 14 февраля 2023 года с помощью обновления Microsoft Edge.

«Все оставшиеся потребительские и коммерческие устройства, которые еще не были перенаправлены с IE11 на Microsoft Edge, были перенаправлены с обновлением Microsoft Edge. Пользователи не смогут отменить это изменение», — пояснили в Microsoft.

«Кроме того, перенаправление с IE11 на Microsoft Edge будет включено как часть всех будущих обновлений Microsoft Edge. Визуальные ссылки на IE11, такие как значки IE11 в меню „Пуск“ и на панели задач, будут удалены в обновлении для системы безопасности Windows от июня 2023 года (выпуск „B“), запланированном на 13 июня 2023 года.»

Более подробное описание обновлений, выпущенных сегодня, смотрите в обзоре Центра интернет‑штормов SANS. Если сегодняшние обновления вызывают какие‑либо проблемы со стабильностью или удобством использования в Windows, AskWoody.com скорее всего, у вас будет подноготная по этому поводу.

Заключение

Рассмотрите возможность создания резервной копии ваших данных и / или создания образа вашей системы перед применением каких‑либо обновлений. И не стесняйтесь высказываться в комментариях, если у вас возникнут какие‑либо проблемы в результате этих исправлений.

От себя добавлю, что своевременное обновление систему может спасти ей жизнь, но на некоторых машинах могут и появиться какие‑то ошибки вплоть до полного её недееспособности, поэтому бэкапы — наше всё!

У мягких есть Программа предварительной оценки Windows (она же бета) для как просто желающих пощупать новые функции и сырую систему, так и для специалистов информационной безопасности, которые хотят протестировать систему на стойкость к различным вещам.

Комментарии (15)


  1. ajijiadduh
    00.00.0000 00:00
    +4

    использовать код как систему

    продвинутыми участниками угроз

    гуглом переводили да?


    1. scoffs Автор
      00.00.0000 00:00

      Почти. Постараюсь поправить такие моменты)


  1. anzay911
    00.00.0000 00:00

    Похоронили, могли бы и код открыть.


    1. nocpamb
      00.00.0000 00:00

      о мертвых Всё или ничего


    1. Taraflex
      00.00.0000 00:00

      Самая вкусная часть — Js движок уже давно открыт github.com/chakra-core/ChakraCore
      А так ли нужно все остальное?


  1. turone
    00.00.0000 00:00

    спасибо за обзор, проверил у себя и точно увидел - IE удален вместо него edge. Ни тебе предупреждения, ни хотя бы уведомления - это нагло. IE нужен для тестов либо запуска архаичных приложений. Edge неплох, но сафари на маке лучше, а после такой наглости - лишний повод на мак пересесть.


    1. MAXH0
      00.00.0000 00:00

      Edge, как и  IE ранее - программа для загрузки нормального браузера в систему. Не требуйте от неё многого.


      1. ib13
        00.00.0000 00:00
        +1

        да мы то особо от него ничего и не требовали-только чтобы nalog.ru работал, а тут на тебе вилы


      1. scoffs Автор
        00.00.0000 00:00

        Одногруппник использует Edge как основой браузер, так что спорно. Но процент таких людей, конечно, очень маленький


        1. turone
          00.00.0000 00:00

          проблема не в Edge, а в удалении IE без спроса, и даже уведомления.


          1. scoffs Автор
            00.00.0000 00:00

            Я понял ваш комментарий, но я ответил пользователю @MAXH0(комментарий)


  1. psi_lion
    00.00.0000 00:00

    Сегодня заметил, что ноутбук перестаёт реагировать на что-либо через какое-то время после отключения экрана (по тайм-ауту бездействия). Ну или по крайней мере не включает экран заново.

    Не знаю, связано ли с этим обновлением, но подозрительно сходится по датам.


    1. psi_lion
      00.00.0000 00:00

      Upd: оказалось, что проблема была в 22H2 с KB4023057, в KB5022845 всё наоборот заработало


      1. scoffs Автор
        00.00.0000 00:00

        Мягкие не зря свой хлеб едят.


  1. barsik_unlimited
    00.00.0000 00:00

    Может не в тему, но вдруг кто-то знает совет.

    Когда собрал новый комп с nvme,не мог нарадоваться запуску за 5 секунд. Спустя время докупил новую видеокарту, но на нее не вставали дрова, так как "версия вашей ОС устарела". Обновился, все встало и заработало, вот только винда теперь грузится минуты две-три. Приходится включать и, как в старые добрые времена, придумывать себе небольшое занятие в ожидании. Понимаю, что, скорее всего, все решается обычной переустановкой, но очень не хочется заново настраивать весь необходимый софт. Кто-то может что-то предложить в качестве решения?