В минувший вторник Microsoft пропатчила уязвимость нулевого дня в Word, уже используемую злоумышленниками, а также выпустила заплатки для Internet Explorer, Edge и Windows 10, совокупно устранив 45 брешей. Кроме уязвимости в Word еще две, согласно разработчику, находятся под атакой.

Как уже сообщалось, эксплойт уязвимости CVE-2017-0199 осуществляется посредством рассылки вредоносных документов Word с внедренным OLE2link. Целью таких атак является засев банкера Dridex. «Обновления выпущены и для Office, и для Windows, и применить следует оба для полноты защиты», — сказано в блоге Zero Day Initiative.

В дикой природе также замечены атаки на новую уязвимость повышения привилегий в IE (CVE-2017-0210). По свидетельству Microsoft, эта брешь открывает возможность для доступа к информации в одном домене и внедрения ее в другой домен.

Еще одна ныне закрываемая уязвимость под атакой крылась в EPS-фильтре Microsoft Office (CVE-2017-2605). Проблема была решена не целевым патчем, а отключением по умолчанию этого фильтра в Office. «Microsoft известно, что незакрытая уязвимость в фильтре EPS ограниченно используется в целевых атаках, поэтому были приняты меры, чтобы снизить риск для пользователей до той поры, пока не будет выпущен патч», — пишет разработчик.

В состав нового набора включено также исправление для Windows 10 Creators Update, только что появившейся в общем доступе. По словам Грега Уайзмана (Greg Wiseman) из Rapid7, в новой версии Windows 10 устранены несколько багов удаленного исполнения кода и повышения привилегий. «Однако расслабиться администраторам дата-центров не удастся, — предупреждает эксперт. — В этом месяце им придется обновлять все поддерживаемые версии Windows Server, с установкой патчей для RCE, повышения привилегий и отказа в обслуживании».

Критических уязвимостей в апрельском списке Microsoft суммарно 13, причем большинство из них присутствуют в IE и Edge. Одна из брешей (CVE-2017-0201), которой подвержены IE 9 и 10, представляет собой RCE-баг в движках JScript и VBScript, вызванный некорректностью обработки объектов в памяти. «Если эксплойт успешен, злоумышленник сможет обрести те же права, что и текущий пользователь», — пишет Microsoft.

В скриптовом движке Edge устранена возможность нарушения целостности памяти (CVE-2017-0093). Для эксплуатации этой уязвимости злоумышленнику придется заманить пользователя на вредоносный сайт. «В случае успеха атакующий сможет исполнить произвольный код в контексте текущего пользователя», — сказано в справке на портале Microsoft.

В блог-записи Zero Day Initiative есть ценное дополнение: «В списке критических уязвимостей также числятся три CVE в Hyper-V, обойденной вниманием на недавнем Pwn2Own«. Эти уязвимости (CVE-2017-0162, CVE-2017-0163, CVE-2017-0180) позволяют гостевому вредоносному приложению исполнить код в хост-системе Hyper-V.

Апрельский «вторник патчей» также ознаменовался сменой формата, принятого в Microsoft для публикации патчей. Обстоятельных бюллетеней по типу MSxx-xxx больше не будет, вместо этого пользователям предлагают доступ к онлайн-справочнику Security Update Guide. «Новая система Microsoft позволяет получить информацию по CVE-идентификатору уязвимости или артикулу KB, — комментирует Уайзман. — Предусмотрена также возможность поиска и фильтрации по конкретным продуктам, степени опасности и воздействию (RCE, DoS и т.д.) — в помощь администраторам, которым приходится расставлять приоритеты при развертывании патчей».

Категории: Главное, Уязвимости