Из-за того что Microsoft пропустила февральский «вторник патчей», две преданные гласности бреши остаются открытыми для эксплойта, тем более что PoC-коды тоже стали достоянием общественности.

По мнению Тода Бирдсли (Tod Beardsley), старшего директора по исследованиям в Rapid7, это экспоненциально повышает вероятность реальной атаки. «Хотя в настоящее время активных кампаний по эксплойту этих уязвимостей не наблюдается, они не за горами, так как время идет», — заявил эксперт. Он также сказал, что не может припомнить такой ситуации, когда Microsoft создала патч для опубликованной PoC и отсрочила его выпуск.

На прошлой неделе Microsoft объявила, что очередной выпуск плановых обновлений откладывается до марта. Причины нарушения привычного регламента разработчик не назвал; по слухам, у него возникли проблемы с системой сборки кода.

Одна из уже обнародованных уязвимостей была обнаружена в библиотеке gdi32.dll, одном из основных компонентов Windows. Эта брешь (CVE-2017-0038), согласно Google Project Zero, открывает возможность для кражи конфиденциальных данных из памяти программы. Вторая уязвимость, также ждущая патча, присутствует в новейшей версии SMB-протокола Windows. Согласно описанию CERT/CC, работающего на базе университета Карнеги — Меллона, этот баг (CVE-2017-0016) позволяет удаленно и без аутентификации вызвать состояние отказа в обслуживании на клиентских Windows 8.1 и Windows 10.

PoC-эксплойт для уязвимости в SMB был опубликован в начале февраля на GitHub. Ожидалось, что соответствующий патч, который на тот момент был уже готов, выйдет в составе февральского набора обновлений, однако Microsoft решила отложить этот выпуск до 14 марта.

Бирдсли считает уязвимость в GDI наиболее опасной из двух незакрытых. «Чтение из ближайших областей динамической памяти может раскрыть приватное и конфиденциальное содержимое памяти, особенно в приложениях, регулярно создающих новые соединения для пользователя, — поясняет эксперт. — Хотя этот уровень раскрытия памяти с помощью GDI-бреши пока не был продемонстрирован, эксплуатация, скорее всего, будет зависеть от специфики приложения. Самую большую угрозу в данном случае составляют целевые атаки на считывание данных».

«Тем не менее эти уязвимости будет сложно эксплуатировать с пользой для атакующего, — продолжает Бирдсли. — Ни одна из них не открыта атакам при базовой, широко распространенной конфигурации серверов, поэтому массовых атак с использованием этих уязвимостей вряд ли можно ожидать».

В отсутствие патча для SMB американский CERT/CC рекомендует заблокировать исходящие SMB-соединения в локальной сети (TCP-порты 139 и 445, а также UDP 137 и 138). Защититься от эксплойта уязвимости в GDI, по словам исследователей из Google Project Zero, поможет «тщательный аудит всех обработчиков EMF, ответственных за работу с DIB».

Тем временем Microsoft все-таки выпустила некоторые патчи из февральского набора. Через неделю после привычной даты для «вторника патчей» был опубликован бюллетень MS17-005, посвященный критическим уязвимостям в Adobe Flash Player, работающем в Internet Explorer и Microsoft Edge. Это те же баги удаленного исполнения кода, которые были ранее пропатчены самой Adobe.

Категории: Главное, Уязвимости