В рамках октябрьского «вторника патчей» Microsoft залатала брешь нулевого дня, которую уже взяла на вооружение известная APT-группа. Баг повышения привилегий в Windows (CVE-2018-8453) выявили эксперты «Лаборатории Касперского»; он получил оценку «существенный».

Согласно Microsoft, уязвимость, возникшая по вине компонента Win32k, позволяет выполнить произвольный код в режиме ядра. «В итоге автор атаки сможет устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи с полным набором прав пользователя», — сказано в бюллетене. Данная проблема актуальна для Windows 7, 8.1 и 10, а также Windows Server 2008, 2012, 2016 и 2019.

APT-группа FruityArmor проводит свои операции в основном на Ближнем Востоке,  зачастую применяя эксплойты нулевого дня. Так, в 2016 году, разбирая очередную кампанию FruityArmor, аналитики «Лаборатории Касперского» обнаружили, что инициаторы целевых атак используют ранее не известную брешь удаленного исполнения кода в GDI-интерфейсе Windows — позднее ей был присвоен идентификатор CVE-2016-3393.

Среди ныне закрываемых уязвимостей примечателен также RCE-баг восьмилетней давности, возникший из-за некорректной загрузки dll-файлов некоторыми приложениями, созданными с использованием библиотеки Microsoft Foundation Class (MFC). Эту критическую уязвимость (CVE-2010-3190) устраняли уже не раз, в 2010, 2011 и 2016 году, так как она затрагивает все версии Microsoft Exchange Server. Проблему пришлось решать вновь, так как она проявилась в Exchange Server 2016.

«В случае успешного эксплойта злоумышленник сможет захватить контроль над системой, — гласит бюллетень Microsoft. — Это позволит ему устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полным набором прав пользователя».

Глен Пендли (Glen Pendley) из Tenable и Алан Лиска (Allan Liska) из Recorded Future особо отметили еще одну уязвимость нулевого дня — CVE-2018-8423 в движке СУБД Microsoft JET. Детали этой бреши вместе с PoC-эксплойтом в прошлом месяце опубликовали участники проекта Zero Day Initiative. Таким образом, организации все это время подвергались риску атаки; эксперты рекомендуют как можно скорее установить соответствующий патч.

Крис Гётль (Chris Goettl), директор по управлению продуктами в Ivanti, в свою очередь обратил внимание на такое обстоятельство: Microsoft не только пропатчила инструменты из набора Office, но также скорректировала обозначения версий. «Office для Mac версии 16.17, появившийся в прошлый «вторник патчей», и все последующие релизы 16.17+ отныне будут официально именоваться Office 2019, говорит комментатор. — Обновления для Office 2016 будут выпускаться «по мере необходимости» до октября 2020 года».

Октябрьские заплатки получили также Edge, Internet Explorer, набор приложений SharePoint Enterprise Server и утилита SQL Server Management Studio. Совокупно Microsoft устранила 50 уязвимостей, включая 12 критических.

Категории: Главное, Уязвимости