Критическое обновление MS16-071 исправляет опасную RCE-уязвимость с идентификатором CVE-2016-3227 в сервисе Windows DNS (Dns.exe) на Windows Server 2012. Для эксплуатации уязвимости может использоваться специальный DNS-запрос, который отправляется на сервер. При этом, в случае успешной эксплуатации, атакующий получит высокие привилегии Local System в Windows. В рамках MS16-073 обновлению подвергся и GUI-драйвер win32k.sys, в котором было закрыто две LPE-уязвимости, с помощью которых атакующие могут несанкционированно запустить в системе свой код режима ядра.
Обновление MS16-063 исправляет десять уязвимостей в веб-браузере Internet Explorer 9-11, большинство из которых относятся к типу RCE. Эксплуатация таких уязвимостей возможна с использованием специальным образом сформированной веб-страницы, позволяющей удаленно исполнить код в веб-браузере. Critical.
Обновление MS16-068 исправляет восемь аналогичных RCE-уязвимостей в веб-браузере Edge. Две Information Disclosure уязвимости CVE-2016-3201 и CVE-2016-3215 присутствуют в компоненте просмотра PDF-файлов, с их помощью атакующий может несанкционированно получить доступ к информации пользователя. Critical.
Обновление MS16-069 исправляет три RCE-уязвимости CVE-2016-3205, CVE-2016-3206 и CVE-2016-3207 в движках VBScript Scripting Engine (VBScript.dll) и JavaScript (JScript.dll). Эксплуатация уязвимостей возможна с использованием вредоносного содержимого при использовании веб-браузера Internet Explorer. Critical.
Обновление MS16-070 исправляет уязвимости в Microsoft Office 2007+. Уязвимость CVE-2016-0025 относится к типу RCE и может быть использована для удаленного исполнения кода с использованием специальным образом сформированного файла Office на MS Word. Другая уязвимость с идентификатором CVE-2016-3235 называется Office OLE DLL Side Loading и позволяет злоумышленнику загрузить свою динамическую библиотеку в контекст процесса Office. Critical.
Обновление MS16-071 исправляет серьезную RCE-уязвимость CVE-2016-3227 в службе DNS-сервера (dns.exe) на Windows Server 2012 и Windows Server 2012 R2. Злоумышленники могут удаленно исполнить код на сервере с высокими правами Local System за счет отправки специальным образом сформированного DNS-запроса. Полученные привилегии могут позволить коду эксплойта загрузить в Windows код режима ядра. Critical.
Обновление MS16-072 исправляет важную Elevation of Privilege уязвимость CVE-2016-3223 в компоненте Group Policy на Windows Vista+. С использованием уязвимости атакующий может повысить свои полномочия в системе за счет атаки man-in-the-middle (MiTM) против трафика между контроллером домена и машиной жертвы. Атакующий получает права для создания групповой политики, которая позволяет предоставить права администратора простому пользователю (Elevation of Privilege). Important.
Обновление MS16-073 исправляет важные уязвимости в системных компонентах Windows. Две уязвимости с идентификаторами CVE-2016-3218 и CVE-2016-3221 присутствуют в драйвере win32k.sys на Windows Vista+. Еще одна уязвимость типа Information Disclosure присутствует в системном драйвере Windows Virtual PCI (Vpcivsp.sys) на Windows Server 2012. Уязвимость позволяет атакующему получить доступ к содержимому памяти, к которому легитимно он не имеет доступ. Уязвимости в win32k.sys позволяют атакующему исполнить свой код с максимальными правами SYSTEM в системе. Important.
Обновление MS16-074 исправляет уязвимости в различных компонентах Windows. Уязвимость CVE-2016-3216 типа Information Disclosure присутствует в компоненте Windows Graphics (Gdi32.dll) на Windows Vista+ и позволяет атакующему обойти защитный механизм ASLR. Другая LPE-уязвимость CVE-2016-3219 присутствует в драйвере win32k.sys на Windows 10 и позволяет атакующему запустить вредоносный код с правами SYSTEM. Еще одна LPE-уязвимость CVE-2016-3220 присутствует в известной библиотеке Adobe Type Manager Library (atmfd.dll) на Windows Vista+. Библиотека используется win32k.sys, а уязвимость позволяет атакующим запускать код в системе с максимальными правами. Important.
Обновление MS16-075 исправляет одну уязвимость типа Elevation of Privilege в компоненте SMB Server на Windows Vista+. Обновлению подлежат такие системные компоненты как драйверы Cng.sys, Ksecpkg.sys, Mrxsmb10.sys, Mrxsmb20.sys, Mrxsmb.sys, Srvnet.sys, Srv.sys, Srv2.sys, а также библиотеки Bcryptprimitives.dll, Lsasrv.dll и др. Для эксплуатации уязвимости атакующему нужно запустить специальное вредоносное приложение, которое получит системные привилегии в Windows. При этом приложение должно отправить специальный запрос на аутентификацию серверу SMB, который некорректно обрабатывает запросы credential forwarding. Important.
Обновление MS16-076 исправляет одну RCE-уязвимость CVE-2016-3228 в компоненте Windows Netlogon (Wdigest.dll, файлы из MS16-075) на Windows Server 2008 и Windows Server 2012. В случае успешной аутентификации в домене, атакующий может отправить специальным образом сформированный запрос NetLogon контроллеру домена и исполнить на нем свой код. Уязвимость помечена как Important, поскольку атакующий уже должен иметь доступ к корпоративной сети (домену). Important.
Обновление MS16-077 исправляет две LPE-уязвимости CVE-2016-3213 и CVE-2016-3236 в компоненте протокола Web Proxy Auto Discovery (WPAD) на Windows Vista+. Обновлению подлежат системные файлы с сетевыми функциями Netbt.sys, Mswsock.dll, Ws2_32.dll, Winhttp.dll. Important.
Обновление MS16-078 исправляет LPE-уязвимость с идентификатором CVE-2016-3231 для сервиса Windows Diagnostics Hub Standard Collector на Windows 10. Уязвимость позволяет атакующему загрузить свою библиотеку в контекст привилегированного сервиса, после чего он получит максимальные системные права в Windows. Important.
Обновление MS16-079 исправляет ряд важных уязвимостей в Microsoft Exchange Server 2007+. Одна уязвимость относится к типу Information Disclosure, а три других к типу Elevation of Privilege. Important.
Обновление MS16-080 исправляет три уязвимости в компоненте Windows PDF (Windows.data.pdf.dll. Glcndfilter.dll) на Windows 8.1+. Эксплуатация уязвимостей возможна с использованием специальным образом сформированного PDF-файла. Две из них относятся к типу Information Disclosure, а третья к RCE. Important.
Обновление MS16-081 исправляет уязвимость типа Denial of Service в компоненте сервиса Active Directory (Ntdsai.dll) на серверных выпусках Windows Server 2008 R2 и Windows Server 2012. Злоумышленник может спровоцировать зависание сервера путем удаленного создания нескольких учетных записей на нем, при этом злоумышленник должен быть аутентифицирован в домене. Important.
Обновление MS16-082 исправляет уязвимость CVE-2016-3230 типа Denial of Service в компоненте Windows Search на Windows 7+ (Structuredquery.dll). Атакующий может спровоцировать зависание системы с помощью запуска в ней специального приложения. Important.
Мы рекомендуем нашим пользователям установить обновления как можно скорее и, если вы еще этого не сделали, включить автоматическую доставку обновлений с использованием Windows Update (по-умолчанию такая возможность включена).
be secure.
Комментарии (19)
GAS_85
16.06.2016 09:51Интересно, что «Обновление MS16-077 исправляет две LPE-уязвимости CVE-2016-3213 и CVE-2016-3236 в компоненте протокола Web Proxy Auto Discovery (WPAD)» одна из них идет еще с Windows 95 и называется BadTunnel. Позволяет злоумышленнику перенаправить трафик через свой прокси при использовании IE. Таким образом можно даже сами обновления подменить. Тут советуют на старых машинах, которых не коснется обновление отключить NetBIOS через TCP/IP.
csbubbles
16.06.2016 11:36-1Вообще когда Windows скачивает и устанавливает обновления (что происходит намного чаще, чем ожидалось и хотелось бы), каждый раз невольно задумываешься насколько же в Microsoft должны быть «хорошие» разработчики, что они заранее не могут распознать и исправить столько критических косяков. И насколько, должно быть, некачественный в общем смысле продукт компания изначально выпускает на рынок…
GAS_85
16.06.2016 12:30+1Не обязательно, просто в связи с распространенностью Windows, именно в ней больше всего ищут уязвимости. Многие из них далеко не тривиальные и становятся основой докладов и конференций. В новой Ubuntu тоже затесалась старая брешь, вот только её достаточно быстро исправили. Так что я бы не сказал что это от «хорошести» разработчиков.
csbubbles
16.06.2016 12:38Не знаю, мне приходится пользоваться и различными сборками Linux'а, и Маком по работе, и как-то те системы так не напрягают постоянными обновлениями. Линукс все-таки не коммерческий продукт, за который люди платят деньги, ожидая, что они покупают что-то супер надежное, и это open source, то есть там ожидаемо, что сообщество что-то постоянно исправляет, добавляет и т.п. На Маке тоже периодически бывают апдейты, но это происходит раз или два в месяц, а на Windows такое ощущение, что пару раз каждую неделю. Я не про какие-то конкретные апдейты, на самом деле, говорю, а в целом. Если продукт требуется обновлять и исправлять каждые несколько дней (не обязательно critical updates), разве это не говорит о том, что его либо недостаточно хорошо заранее продумали, либо недостаточно хорошо оттестировали? Microsoft же не добавляет какую-то новую функциональность каждым обновлением, а что-то исправляет обычно.
GAS_85
16.06.2016 17:15Ни в коем случае не защищаю Windows, но странная штука, мне на Mint иногда даже грустно становится и я самостоятельно проверяю наличие обновлений… Привычки привитые с детства.
Тут мысль только в том, что ошибаются все, а чем больше у тебя пользователей, тем заметнее твои ошибки.
rtzra
16.06.2016 13:12+1Меня бесят в обновлениях Windows 2 вещи:
— отжирание большого объема памяти в процессе установки и сильная нагрузка на диск
— обязательная перезагрузка после установки обновлений, которая может продолжаться весьма долго
brers
16.06.2016 14:05Все ссылки ведут на корень библиотеки технета https://technet.microsoft.com/en-us/library
Так задумано?
Fuzzz
17.06.2016 17:41MS16-072: Security update for Group Policy:
KB3159398 MS16-072: Description of the security update for Group Policy: June 14, 2016
KB3163017 Cumulative update for Windows 10: June 14, 2016
KB3163018 Cumulative update for Windows 10 Version 1511 and Windows Server 2016 Technical Preview 4: June 14, 2016
Установка данных KB убьет GPO на пользовательских машинах(с чем столкнулся):
-монтирование дисков;
-ярлыки, приложения пользователей;
-права доступа;
Выход: удалить КВ, добавить «Прошедшим проверку» разрешение на чтение. Выбор первого очевиден.Taciturn
19.06.2016 14:35Куче народу лень читать описание обновления, хотя там всё просто. Теперь чтение политик выполняется от имени аккаунтов компьютеров, а не от имени аккаунтов пользователей. Соответственно нужно дать компьютерам права на чтение полититик и всё будет работать нормально.
Можно быстро сделать это через PowerShell:
https://p0w3rsh3ll.wordpress.com/2016/06/16/fix-gpo-permissions-before-applying-ms16-072/
Fuzzz
20.06.2016 00:00Наверное, MS врут. Склонен сомневаться в конкретном переводе или это таки наработка? Поясню цитатой:
«Symptoms
All user Group Policy, including those that have been security filtered on user accounts or security groups, or both, may fail to apply on domain joined computers.
Cause
This issue may occur if the Group Policy Object is missing the Read permissions for the Authenticated Users group or if you are using security filtering and are missing Read permissions for the domain computers group.
Resolution
To resolve this issue, use the Group Policy Management Console (GPMC.MSC) and follow one of the following steps:
Add the Authenticated Users group with Read Permissions on the Group Policy Object (GPO).
If you are using security filtering, add the Domain Computers group with read permission.»
https://support.microsoft.com/en-us/kb/3163622
Кстати, в ссылке на PS фигурирует «Authenticated Users group» и даже если перевод настолько «вольный», то идентификатор S-1-5-11 — это группа пользователей. Куча правда, да?
Fuzzz
21.06.2016 10:47О фильтрации забыл добавить. Если используется в GPO, значит Computers group — read
ilyaplot
Описание некоторых уязвимостей вселяют страх. Особенно выполнение кода на сервере с помощью dns запроса.
Откуда берется так много уязвимостей такого рода?
red75prim
С++ и С. Как их через статические анализаторы не гоняй, а программисты — умнее.
red75prim
Господа, всё-таки предлагайте варианты ответов. Например, С++ и С — замечательные инструменты, но никто, кроме NASA, Бьярна Страуструпа и меня, не умеет ими нормально пользоваться, поэтому надо больше хороших и разных методичек по написанию недырявого кода на С и С++. Или что-то в этом роде.
ilyaplot
Хотите сказать, что разработчики Windows пишут на языке, который плохо понимают? Или то, что люди, которые все-таки понимают этот язык еще не работают в Microsoft?
Вообще мне кажется, все исходит от основных механизмов работы ОС. Разве на каком-нибудь *nix сервере клиент сможет DNS запросом запустить свой код с высокими правами? Нет, потому что права пользователя, от которого работает dns, не дают привилегий практически ни на что больше, чем сама работа dns сервиса. Конечно, кто-то может запускать все от root, но таких не очень много.
Когда я впервые увидел UAC, я подумал, что это и есть аналог «изоляции» прав обычного пользователя, но с тех пор ситуация мало поменялась.
red75prim
Я хочу сказать, что даже в Linux нет гарантии того, что какой-нибудь ioctrl в системной службе не вызовет переполнение буфера и исполнение произвольного кода(например, http://www.cvedetails.com/cve/CVE-2015-8812/ ). Потому что С и С++ не гарантируют безопасной работы с памятью. Безопасную работу с памятью пытаются гарантировать программисты. Как у них это получается — известно всем.
Foolleren
Нашёл багу в эдже — открыл много вкладок, закрыл браузер, открыл, начинаешь тыкать по вкладкам мышкой браузер падает, отправил репорт, уже через две недельки патч с описанием кучи критических багов, браузер перестал вылетать, сижу и думаю — неужели связано, или эту мелочь просто до кучи исправили.