Июньский набор обновлений для продуктов Microsoft закрывает 88 уязвимостей; более 20 из них признаны критическими. Вендор также устранил четыре бага в Windows, уже ставшие достоянием общественности. Несмотря на это, они оценены как существенные; данных об их использовании в атаках пока нет.

В соответствующих бюллетенях Microsoft не упоминается исследовательница, использующая ник SandboxEscaper, однако по кратким описаниям нетрудно догадаться, что информацию об уязвимостях опубликовала именно она.

«Публичное раскрытие информации повышает степень риска, — пишет в блоге Крис Гётль (Chris Goettl), директор по управлению продукцией Ivanti. — Подобные случаи позволяют злоумышленникам быстрее создать эксплойт, чтобы воспользоваться уязвимостью». Эксперт рекомендует пользователям в первую очередь закрыть лазейки, уже преданные огласке, а именно:

  • CVE-2019-1069 — уязвимость повышения привилегий (EoP) в планировщике заданий Windows; ей подвержены все Windows 10, а также Windows Server 2016 и выше (SandboxEscaper присвоила ей кодовое имя BearLPE);
  • CVE-2019-1064 — обход патча для CVE-2019-0841; актуален для Windows 10, Server 2016 и 2019;
  • CVE-2019-0973 — EoP-возможность в подсистеме установки и обновления Windows;
  • CVE-2019-1053 — обход песочницы, позволяющий внедрить вредоносный код в Internet Explorer 11; проблема актуальна для всех поддерживаемых Windows.

PoC-эксплойты для этих EoP-багов SandboxEscaper выложила на GitHub в прошлом месяце.

Джимми Грэм (Jimmy Graham) из Qualys советует обратить внимание на патчи для гипервизора Hyper-V. Три выявленные в нем уязвимости (CVE-2019-0620CVE-2019-0709 и CVE-2019-0722) позволяют авторизованному пользователю выйти за пределы гостевой ОС и выполнить любой код на хост-машине. «Microsoft отметила, что эксплуатация уязвимостей маловероятна, однако для систем Hyper-V эти заплатки являются первоочередными», — подчеркнул эксперт в своей записи.

Аналитик из Recorded Future Алан Лиска (Allan Liska) полагает, что высокий приоритет следует также назначить патчам для двух уязвимостей в Microsoft Word (CVE-2019-1034 и CVE-2019-1035). Они позволяют удаленно выполнить вредоносный код с правами текущего пользователя и присутствуют во всех версиях программы для Windows и macOS, а также в Office 365. «Злоумышленники любят использовать документы Microsoft Word в своих атаках, и если они прибегнут к реверс-инжинирингу, массовая эксплуатация уязвимостей неминуема», — предупреждает эксперт.

Для набора офисных программ актуальны также XSS-баги в SharePoint (CVE-2019-1031, CVE-2019-1033 и CVE-2019-1036). «Уязвимость возникла из-за неадекватной санации запросов, подаваемых на сервер SharePoint, — сказано в каждом из трех бюллетеней Microsoft. — После аутентификации злоумышленник может ею воспользоваться, послав на сервер особым образом составленный запрос». В случае успеха автор атаки сможет просмотреть закрытую для него информацию, а также использовать идентификаторы жертвы для расширения доступа к сайту SharePoint с тем, чтобы изменить разрешения, удалить содержимое или внедрить вредоносный контент в браузер пользователя.

Стоит отметить также уязвимости CVE-2019-1040 и CVE-2019-1019, хотя Microsoft оценила их как умеренно опасные. Они позволяют удаленно выполнить вредоносный код на любой Windows-машине либо успешно авторизоваться на веб-сервере, поддерживающем режим проверки подлинности Windows Integrated Authentication (WIA) — к примеру, на сервере Exchange или ADFS. По словам исследователей из Preempt, в появлении брешей повинны логические ошибки в проприетарном протоколе NTLM.

Несколько информационных бюллетеней Microsoft посвящены исправлениям в продуктах сторонней разработки:

  • ADV190015 — устранение новой уязвимости в Adobe Flash Player;
  • ADV190016 — блокировка некоторых ключей стандарта FIDO для устройств Bluetooth Low Energy; соответствующая уязвимость была обнародована в мае, Google и Feitian уже опубликовали предупреждения для своих клиентов;
  • ADV190017 — в очках смешанной реальности HoloLens присутствовали уязвимости, позволявшие без авторизации вызвать состояние отказа в обслуживании либо скомпрометировать находящиеся поблизости устройства.

Еще один бюллетень, ADV190018, информирует о выпуске обновления для Microsoft Exchange Server как меры усиления «эшелонированной защиты» (defense in depth). В чем заключаются эти меры, в документе не сказано.

Категории: Главное, Уязвимости