Июльский набор патчей для продуктов Microsoft закрывает 77 уязвимостей, в том числе 15 критических и две уже используемые злоумышленниками. Одиннадцать критических уязвимостей выявлены в скриптовых движках и браузерах, остальные затрагивают DHCP-сервер, подсистему GDI+, фреймворк .NET, а также серверы Azure DevOps и Team Foundation (TFS).

«Патчам для скриптовых движков, браузеров, GDI+ и .NET Framework следует назначить высокий приоритет, если речь идет о рабочих станциях, то есть системах, используемых для email-обмена или выхода в Интернет через браузер, — советуют эксперты Qualys, разбирая новые заплатки Microsoft в своем блоге. — К этой группе относятся также многопользовательские серверы, используемые как удаленный рабочий стол».

Критическую уязвимость в DHCP Server (CVE-2019-0785) можно использовать по сети в том случае, когда сервер сконфигурирован для отработки отказа. «Этот баг порчи памяти позволяет злоумышленнику передать на DHCP-сервер специально созданный пакет, — пояснил аналитик Recorded Future Аллан Лиска (Allan Liska) в ответ на запрос Threatpost о комментарии. — В случае успешной эксплуатации он сможет выполнить любой код». Уязвимости подвержены все выпуски Windows Server с 2012 по 2019-й. Похожую брешь (CVE-2019-0725) Microsoft закрыла в мае.

Эксплуатация RCE-уязвимости в Azure DevOps Server и TFS (CVE-2019-1072) осуществляется через загрузку на сервер вредоносного файла. «Пользователь, имеющий возможность выгружать файлы, сможет выполнить код в контексте аккаунта Azure DevOps/TFS, — сказано в блог-записи Qualys. — Это можно также сделать анонимно, если настройки сервера разрешают такой доступ. Для установок Azure DevOps и TFS этот патч должен быть первоочередным».

Экспертам Qualys вторит Лиска: «До сих пор [серверы] Azure редко подвергались эксплойт-атакам, однако уязвимость следует пропатчить незамедлительно, так как эксплуатацию в данном случае можно масштабировать».

Microsoft также устранила две уязвимости повышения привилегий, уже используемые itw. Одна из них присутствовала в компоненте Win32k, другая — в модуле splwow64, обеспечивающем соединение 32-разрядных приложений с 64-битным диспетчером очереди печати. Несмотря на то что разработчик оценил проблемы как существенные, Qualys рекомендует установить патчи как можно скорее, поскольку каждую из этих уязвимостей можно скомбинировать с другими и получить полный доступ к системе.

Уязвимость в Win32 (CVE-2019-1132) актуальна для Windows 7, Windows Server 2008 и Server 2008 R2. «Хотя злоумышленнику сначала придется войти в систему, эксплойт позволит установить полный контроль над нею», — пишет директор по управлению продукцией Ivanti Крис Гётль (Chris Goettl) в комментарии для Threatpost.

Уязвимость в splwow64 (CVE-2019-0880) позволяет повысить привилегии с низкого уровня до среднего. Если сразу пропатчить ее нет возможности, риски можно уменьшить, отключив подкачку данных для печати. Проблеме подвержены Windows 8.1, Windows Server 2012 и более поздние версии клиентской и серверной ОС.

Эксперты также обращают внимание пользователей на патч к RCE-уязвимости в сервере SQL (CVE-2019-1068). Она оценена как существенная, так как ее использование требует аутентификации, однако в комбинации с SQL-инъекцией эта проблема, по свидетельству Qualys, позволяет полностью скомпрометировать сервер, и ее лучше устранить в кратчайшие сроки.

Категории: Главное, Уязвимости