В минувший вторник Microsoft выпустила заплатку для бреши нулевого дня в механизме СУБД JET, однако это решение, по свидетельству ACROS Security, не до конца устраняет проблему. Чтобы исправить ситуацию, специалисты создали микропатч, загружаемый на Windows через их платформу 0patch.

Уязвимость out-of-bounds write (CVE-2018-8423), позволяющую захватить контроль над системой, обнаружили участники проекта Zero Day Initiative компании Trend Micro. Детали опасной бреши были обнародованы спустя 135 дней после подачи отчета в Microsoft.

На момент публикации официальной заплатки еще не было (она вышла спустя две недели, в рамках октябрьского «вторника патчей»), поэтому эксперты ACROS сочли нужным выпустить временный микропатч, устанавливаемый бесплатно с помощью программного агента 0patch. Теперь, обнаружив несовершенство решения Microsoft, они создали другой микропатч, вносящий нужные коррективы.

По словам гендиректора ACROS Мити Колсека (Mitja Kolsek), виновником возникновения бреши CVE-2018-8423 являлась динамическая библиотека msrd3x40.dll. «Как и следовало ожидать, обновление содержит модифицированный бинарный код msrd3x40.dll, — пишет эксперт в блоге 0patch. — Наш микропатч полагался на четыре процессорные команды (одна из них — чисто для отчетности), однако теперь версия msrd3x40.dll изменилась с 4.0.9801.0 на 4.0.9801.5, а значит, и хеш. В результате наш микропатч для msrd3x40.dll перестал работать».

Сравнив заплатку Microsoft со своим решением, исследователи обнаружили небольшие различия. Как оказалось, официальный патч лишь ограничивает эксплойт, а не исключает.

Команда 0patch уже уведомила Microsoft о проблеме и ждет исправления, чтобы опубликовать PoC-код. Новый микропатч ACROS, по словам Колсека, способен восстановить защиту на 32- и 64-битных Windows 7, 8.1 и 10, Windows Server 2008 и 2012, а также других Windows, которые используют ту же версию msrd3x40.dll.

Microsoft на запрос Threatpost о комментарии пока не ответила.

Категории: Кибероборона, Уязвимости