Microsoft выполнила свое обещание и выпустила патч для уязвимости нулевого дня в Windows, недавно обнаруженной специалистами Google и уже используемой в атаках.

Жертвы этих атак пока не выявлены, а их инициатором Microsoft считает APT-группу Sofacy, которую молва связывает с ГРУ РФ. Известно, что Sofacy обычно атакует стратегически важные организации: правительственные структуры, дипломатические учреждения, подрядчиков оборонной сферы, а также политизированные сообщества.

Напомним, блог-запись Google, посвященная уязвимости, о которой идет речь, появилась 31 октября, через 10 дней после отправки отчета в Microsoft. Отчет о другой 0-day, во Flash, был параллельно подан в Adobe. Последняя оперативно выпустила патч, в отличие от Microsoft, которая открыто признала наличие новой бреши лишь после публикации Google.

Согласно описанию Google, данная уязвимость представляет собой баг локального повышения привилегий, присутствующий в ядре Windows. Его эксплойт влечет побег из песочницы, который можно использовать для выполнения кода в режиме ядра.

«Microsoft реализовала новые технологии пресечения эксплойта win32k-компонента ядра в рамках юбилейного обновления Windows 10, — пишет Microsoft во вторничном бюллетене MS16-135. — Эти защитные механизмы, включенные в Windows 10 Anniversary Update, были разработаны по результатам проактивного внутреннего исследования и способны остановить все наблюдаемые в дикой природе экземпляры эксплойта».

Обновление MS16-135 также патчит две другие уязвимости повышения привилегий в ядре Windows (CVE-2016-7215 и CVE-2016-7246), баг раскрытия информации в ядре, грозящий обходом ASLR (CVE-2016-7214), и аналогичную брешь в драйвере режима ядра browser.sys (CVE-2016-7218).

Ноябрьские обновления от Microsoft сгруппированы в 14 бюллетеней, шесть из них оценены как критические. Так, MS16-132 посвящен уязвимостям в графическом компоненте Windows. Самая серьезная из них, RCE, уже эксплуатируется itw; она вызвана некорректной обработкой OpenType-шрифтов соответствующей библиотекой. Пакет MS16-132 закрывает также возможность утечки информации в компоненте ATMFD, нарушения целостности памяти в Windows Animation Manager и аналогичную брешь в Windows Media Foundation.

Накопительное обновление для Edge (MS16-129) устраняет 17 уязвимостей, в основном RCE. Две из них, CVE-2016-7209 и CVE-2016-7199, уже преданы гласности, однако, по сведениям Microsoft, пока не используются itw. Один из этих багов пропатчен также в Internet Explorer (MS16-142), в котором совокупно закрыты семь брешей.

MS16-130 устраняет три критические уязвимости в Windows: RCE в механизме загрузки файлов изображений и две бреши повышения привилегий, в редакторе методов ввода (IME) и диспетчере задач. MS16-131 содержит патч для RCE-уязвимости в компоненте Microsoft Video Control. Еще одно критическое обновление от Microsoft патчит Flash Player на IE и Edge; аналогичные заплатки параллельно выпустила Adobe.

Внимания также заслуживает апдейт Microsoft Office, MS16-133, хотя он оценен как важный. В этом комплекте совокупно закрыто 12 брешей, в том числе 10 позволяющих удаленно исполнить код через порчу памяти. По данным Microsoft, ни одна из этих уязвимостей пока не эксплуатируется в дикой природе.

MS16-136 исправляет шесть ошибок повышения привилегий (EoP) и раскрытия информации в SQL Server. Три EoP присутствовали в движке для запросов в реляционной базе данных, одна — в агенте SQL Server. Устранены также XSS в API-интерфейсе MDS и раскрытие информации в службах аналитики.

«Большинство администраторов предпочтут начать с быстрого развертывания исправлений для браузеров, графических компонентов и Office, — комментирует ИБ-исследователь из Tripwire Крэг Янг (Craig Young). — Все эти компоненты содержат как минимум одну уязвимость исполнения кода из тех, вероятность эксплойта которых, согласно Microsoft, весьма высока. Им следует отдать наивысший приоритет, так как эти уязвимости могут сработать в ходе обычного веб-серфинга и потенциально предоставляют аутсайдеру возможность проникновения в сети».

Остальные бюллетени ноябрьского издания («важные»):

  • MS16-134 — 10 багов повышения привилегий в файловой системе стандартного журналирования (CLFS);
  • MS16-137 — три уязвимости в Windows NTLM, Virtual Secure Mode и Local Security Authority Subsystem Service;
  • MS16-138 — четыре бреши повышения привилегий в Windows Virtual Hard Disk Driver;
  • MS16-139 — локальное повышение привилегий в ядре Windows, возможное из-за неадекватного контроля доступа через API;
  • MS16-140 — обход защиты в компоненте Windows Secure Boot; злоумышленник может отключить проверку целостности кода и загрузить исполняемый файл или драйвер, подписанный как тестовый образец.

Категории: Главное, Уязвимости