В минувший вторник компания Microsoft выпустила 16 бюллетеней по безопасности, совокупно устранив 44 уязвимости в своем ПО, в том числе в Windows, Exchange Server, Office, Edge и Internet Explorer. Пяти бюллетеням присвоен статус «критический», так как они касаются RCE-брешей; остальные обновления помечены как важные.

ИБ-эксперты обращают внимание пользователей на патч для критической уязвимости в DNS-серверах Windows, связанной с использованием высвобожденной памяти (MS16-071). Этой бреши подвержены все поддерживаемые релизы Windows Server 2012 и Windows Server 2012 R2. По словам разработчика, удаленное исполнение кода в данном случае возможно посредством отправки на DNS-сервер вредоносных запросов.

«Эта уязвимость особенно опасна для организаций, в которых DNS-сервер размещен на той же машине, что и сервер Active Directory», — отметил Вольфганг Кандек (Wolfgang Kandek), технический директор Qualys. Microsoft решила проблему, привнеся изменения в обработку запросов на сервере. Патч нужно непременно установить, однако это не самая неотложная проблема, так как большинство DNS-серверов Windows используются лишь внутри локальной сети и недоступны из Интернета.

Баги порчи памяти в Microsoft Office (MS16-070) позволяют выполнить произвольный код в контексте текущего пользователя, если тот откроет вредоносный файл, присланный по почте или специально внедренный на сайт. При наличии у пользователя прав администратора последствия будут более тяжкими: атакующий сможет захватить контроль над уязвимой системой. По свидетельству Microsoft, вектором атаки на одну из этих критических уязвимостей, CVE-2016-0025, является область предварительного просмотра: эксплойт можно осуществить с помощью простого письма, при этом участие пользователя не требуется.

Еще два критических бюллетеня посвящены накопительным обновлениям для Internet Explorer и Edge. В Edge, в частности, были улучшены проверка документов в рамках политики защиты содержимого (CSP), обработка объектов в памяти JavaScript-движком Chakra, парсинг pdf-файлов. В IE исправлен ряд ошибок порчи памяти, в том числе в движках JScript 9, JScript и VBScript. Отдельным бюллетенем вышло накопительное обновление для JScript и VBScript, в числе прочих оно содержит патчи, идентичные выпущенным в мае; данных о публичных эксплойтах у разработчика нет.

Остальные бюллетени Microsoft оценила как важные:

  • MS16-072 — повышение привилегий на Windows через MitM-атаку на трафик, которым обмениваются контроллер домена и целевая машина; причина — некорректная обработка обновлений групповой политики;
  • MS16-073 — уязвимости в драйверах режима ядра Windows; наиболее опасная из них позволяет повысить привилегии, если атакующий осуществит вход в систему и запустит вредоносное приложение;
  • MS16-074 — уязвимости, затрагивающие графический компонент Windows; самая серьезная из них позволяет повысить привилегии, если пользователь откроет специально созданный документ или посетит вредоносный сайт;
  • MS16-075 — повышение привилегий на Windows через вход в уязвимую систему и запуск вредоносного приложения;
  • MS16-076 — удаленное исполнение кода, предполагающее наличие доступа к контроллеру домена в целевой сети; чтобы воспользоваться уязвимостью, аутентифицированный злоумышленник должен послать на контроллер особый NetLogon-запрос;
  • MS16-077 — повышение привилегий, возможное при откате протокола WPAD на уязвимый процесс поиска прокси-сервера в целевой системе;
  • MS16-078 — повышение привилегий посредством входа в систему и запуска вредоносного приложения;
  • MS16-079 — уязвимости в Microsoft Exchange Server; самая серьезная из них влечет раскрытие информации, если атакующий пришлет OWA-сообщение со ссылкой на изображение, загружаемое с контролируемого им сайта без всякого предупреждения или фильтрации;
  • MS16-080 — уязвимости в Windows PDF; самая опасная из них позволяет удаленно выполнить код в контексте текущего пользователя, если его удастся убедить открыть вредоносный pdf-файл;
  • MS16-081 — уязвимость в Active Directory, грозящая отказом в обслуживании в том случае, если аутентифицированный злоумышленник будет создавать множество учетных записей машины; эксплойт предполагает наличие аккаунта с правом добавления компьютеров в домен;
  • MS16-082 — DoS-баг в Windows, эксплойт которого требует выполнения входа в систему и запуска вредоносного приложения.

Категории: Главное, Уязвимости