Microsoft залатала брешь нулевого дня в ядре Windows, обнаруженную и использованную Hacking Team. Информация об уязвимости была найдена среди 400 ГБ данных, слитых в Сеть взломщиком сетей итальянской компании, разрабатывающей шпионское программное обеспечение.

Согласно бюллетеню MS15-077, уязвимость CVE-2015-2387 присутствовала в Adobe Type Manager Font Driver (ATMFD) и позволяла повысить привилегии и исполнить произвольный код; отчет о ней был предоставлен участниками Google Project Zero и исследователем Морганом Марки-Буаром (Morgan Marquis-Boire).

«Уязвимость была устранена путем внесения коррективов в механизм работы с объектами в памяти, используемый Adobe Type Manager Font Driver (ATMFD)», — говорится в бюллетене Microsoft. Уязвимости подвержены все версии Windows Server начиная с Windows Server 2003. Microsoft присвоила ей категорию «важная», поскольку атакующему вначале придется залогиниться в целевой системе, лишь в этом случае он сможет исполнить вредоносный код.

Microsoft также указала ряд обходных решений, например переименование ATMFD.dll, помогающее против уязвимости во всех версиях ОС, кроме Windows Server 2003.

Обнародование уязвимостей нулевого дня, использованных Hacking Team, затмило другое знаменательное событие, намеченное на минувший вторник, — окончание поддержки Windows Server 2003. Девять из четырнадцати бюллетеней включают патчи для программного обеспечения с истекающим сроком поддержки. Из этих четырнадцати бюллетеней четыре обозначены как критические и содержат патчи для Internet Explorer, Windows Remote Desktop Protocol, VBScript Scripting Engine и Windows Hyper-V; все они устраняют уязвимости удаленного исполнения кода.

Бюллетень MS15-065 касается Internet Explorer и содержит патчи для 29 уязвимостей в браузере; 4 из них стали достоянием общественности. Так, баг нарушения целостности памяти в JScript9 стал известен из-за утечки данных из Hacking Team, отчет о нем был предоставлен компанией Vectra Networks. Обходы ASLR и фильтра межсайтового скриптинга в IE, как и уязвимость раскрытия информации, также известны широким массам.

Другим критически важным бюллетенем, на который стоит обратить внимание, является MS15-067, закрывающий уязвимость удаленного исполнения кода в RDP. Багу подвержены ПК под управлением Windows 7 и Windows 8, и в большинстве случаев его эксплойт приводит к сбою в работе; в некоторых случаях возможно удаленное исполнение кода.

Для эксплойта этого бага, чреватого установкой вредоносных программ, изменением данных и созданием новых учетных записей, атакующему придется посылать специально созданные последовательности пакетов на систему с запущенным RDP. По словам представителей Microsoft, уязвимость была устранена путем улучшения механизма обработки пакетов в RDP.

«Данный баг весьма опасен, ведь многие организации полагаются на использование протокола удаленного рабочего стола, да и многие продвинутые пользователи используют RDP дома, — заявил ИБ-исследователь из Tripwire Крейг Янг (Craig Young). — Этот бюллетень должен быть первоочередным в списке устанавливаемых обновлений. Хотя представители Microsoft и заявляют, что выполнить код посредством эксплуатации этого бага достаточно трудно, среди злоумышленников много умных людей, и я уверен в том, что появление PoC-кода на просторах Сети не за горами».

Две уязвимости в гипервизоре Hyper-V, закрытые бюллетенем MS15-068, могли создать множество проблем на облачном хостинге. Эксплойт позволяет удаленно выполнить код в контексте хоста, если аутентифицированный и привилегированный злоумышленник запустит специально созданное приложение под гостевой ОС, поддерживаемой Hyper-V. Microsoft добавила, что для эксплойта этих багов атакующему также понадобятся валидные учетные данные.

«Уязвимость в Hyper-V может нанести серьезный ущерб в случае использования общего хостинга, так как привилегированный пользователь гостевой ОС может исполнить код на хост-машине, потенциально компрометируя безопасность всего общего хостинга», — заявил Тайлер Регьюли (Tyler Reguly) из Tripwire.

Последний критический бюллетень, MS15-066, закрывает уязвимость удаленного исполнения кода в обработчике сценариев VBScript и предназначен для всех поддерживаемых версий Windows Server.

«В случае веб-атаки злоумышленник может создать специальный сайт, предназначенный для эксплойта этой уязвимости через Internet Explorer, а затем вынудить пользователя посетить этот сайт, — гласит бюллетень Microsoft. — Атакующий также может встроить ActiveX-скрипт с меткой «safe for initialization» в приложение или документ Microsoft Office, использующие механизм визуализации IE».

Еще одним бюллетенем, на который стоит обратить внимание, является MS15-058, выпущенный в июне и закрывающий три бреши удаленного исполнения кода в SQL Server. Ему присвоена категория «важный», поскольку, по словам Microsoft, атакующему понадобятся разрешения для создания или внесения изменений в базу данных.

«Эта проблема особенно критична для компаний, предоставляющих хостинг баз данных и дающих пользователям права для создания и изменения схемы базы данных общего доступа, — подчеркнул Янг из Tripwire. — При определенных условиях эксплуатация уязвимости позволит атакующему получить полный доступ к SQL-серверу».

Категории: Главное, Уязвимости