• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Гостевая статья ОБЗОР ОБНОВЛЕНИЙ БЕЗОПАСНОСТИ ЗА ФЕВРАЛЬ 2020 ГОДА

Adobe патчи за февраль 2020

Релиз Adobe за февраль включает пять бюллетеней, посвященных в общей сложности 42 CVE, в Framemaker, Experience Manager, Adobe Digital Editions, Flash, Acrobat и Reader. Обновление для исправляет 21 критической оценкой, все из которых были отправлены через программу ZDI. Подавляющее большинство из них - это ошибки записи вне пределов (OOB), которые могут привести к выполнению кода. Обновление для исправляет 17 ошибок CVE, семь из которых являются ошибками Use-After-Free (UAF). Худшие из этих ошибок могут позволить злоумышленнику выполнить код в уязвимой системе, если он откроет специально созданный файл. В обновлении исправлена ошибка, приводившая к путанице одного типа, которая могла позволить выполнение кода на уровне вошедшего в систему пользователя. Патч для исправляет два CVE, одно из которых - ошибка внедрения команд, которая может позволить выполнение кода. В последнем патче от Adobe за февраль исправлена одна ошибка отказа в обслуживании (DoS) в . Ни одна из этих ошибок не указана как общедоступная или под активной атакой на момент выпуска.
Также следует отметить, что Adobe выпустила патч для своей платформы в конце января, чтобы исправить шесть CVE. Adobe приобрела Magento в мае прошлого года за 1,68 миллиарда долларов США, и это, похоже, первый патч, выпущенный для платформы с момента приобретения. Ни одна из этих ошибок с критической и важной оценкой не указана как общедоступная или под активной атакой. Что не ясно, так это то, будут ли патчи для Magento в конечном итоге включены в обычный выпуск Patch Tuesday или они будут выпущены вне стандартного графика.

Microsoft исправления на февраль 2020

В феврале Microsoft выпустила исправления для целых 99 CVE, охватывающих Microsoft Windows, Edge (на основе EdgeHTML), ChakraCore, Internet Explorer (IE), SQL Server, Exchange Server, Office и Office Services и веб-приложения, Azure DevOps Server, Team Foundation. Сервер и механизм защиты от вредоносных программ Microsoft. Из 99 CVE 12 указаны как критические, а остальные 87 указаны как важные по серьезности. Три из этих уязвимостей были зарегистрированы через программу ZDI. По данным Microsoft, пять из этих ошибок общеизвестны, и один в настоящее время находится под активной атакой.
Давайте подробнее рассмотрим некоторые из наиболее интересных обновлений этого месяца, начиная с сообщения об ошибке, которая, как сообщается, находится под активной атакой с середины января:

- - Уязвимость сценариев, памяти. Эта ошибка браузера влияет на IE и другие программы, использующие механизм рендеринга Trident. Microsoft впервые пользователей об этой ошибке 17 января. Злоумышленники могут выполнить код на уязвимых системах, если пользователь заходит на специально созданный веб-сайт. Даже если вы не используете IE, эта ошибка может по-прежнему зависеть от встроенных объектов в документы Office. Учитывая, что указанный обходной путь - отключение jscript.dll - нарушает достаточную функциональность, вы должны отдать приоритет тестированию и развертыванию этого патча.

- - Microsoft Exchange, памяти. Эта ошибка выполнения кода в Exchange указана только как Важная, но ее следует рассматривать как уязвимость с критическим рейтингом. Злоумышленник может выполнить код на уязвимых серверах Exchange, отправив специально созданное электронное письмо. Никакого другого взаимодействия с пользователем не требуется. Выполнение кода происходит с разрешениями системного уровня, поэтому злоумышленник может полностью получить контроль над сервером Exchange через одно электронное письмо. Об этой ошибке сообщили через нашу программу, и мы опубликуем подробности об этом в ближайшем будущем.

- - Уязвимость удаленного выполнения кода LNK Ошибки, влияющие на файлы ссылок (.LNK), никогда не перестают меня удивлять. Если уязвимости .LNK зазвонят, это, вероятно, связано с что них используется во вредоносной программе которая оставалась одним из наиболее широко используемых недостатков программного обеспечения в течение . Эта ошибка похожа. Злоумышленник может использовать эту уязвимость для выполнения кода, если задействованная система обрабатывает специально созданный файл .LNK. Это можно сделать, убедив пользователя открыть удаленный общий ресурс, или, как было показано в прошлом, поместив файл .LNK на USB-накопитель и открыв его пользователю. Это удобный способ использовать систему с воздушным зазором.

- - Уязвимость обхода функции безопасности Microsoft Secure Boot Эта ошибка обхода функции безопасности может позволить злоумышленникам обойти функцию Secure Boot и загрузить ненадежное программное обеспечение в уязвимую систему. Это одна из общеизвестных ошибок, исправленных в этом месяце. Несмотря на то, что это, безусловно, ошибка для изучения, она усугубляется нестандартным процессом исправления. В этом месяце сначала должен быть применен стек обслуживания, а затем необходимо установить дополнительные автономные обновления безопасности. Если у вас включена защита учетных данных Защитника Windows (Виртуальный безопасный режим), вам также потребуется выполнить две дополнительные перезагрузки. Все это необходимо для блокировки сторонних загрузчиков.

Вот полный список CVE, выпущенных Microsoft за февраль 2020 года.


CVEзаглавиеСтрогостьобщественногоэксплуатируемыйXI - последнийXI - старшеТип
Уязвимость, приводящая к повреждению памяти в скриптовом движкекритическийдада00RCE
Уязвимость установщика Windows, приводящая к несанкционированному получению правВажныйданет22НКП
Уязвимость установщика Windows, приводящая к несанкционированному получению правВажныйданет22НКП
Уязвимость браузера Microsoft, приводящая к раскрытию информацииВажныйданет22Информация
Уязвимость безопасности Microsoft Secure Boot, связанная с обходом функцииВажныйданет22SFB
Уязвимость удаленного выполнения кода LNKкритическийнетнет22RCE
Уязвимость Media Foundation, приводящая к повреждению памятикритическийнетнет22RCE
Уязвимость клиента удаленного рабочего стола, делающая возможным удаленное выполнение кодакритическийнетнет11RCE
Уязвимость клиента удаленного рабочего стола, делающая возможным удаленное выполнение кодакритическийнетнет11RCE
Уязвимость, приводящая к повреждению памяти в скриптовом движкекритическийнетнет11RCE
Уязвимость, приводящая к повреждению памяти в скриптовом движкекритическийнетнет22RCE
Уязвимость, приводящая к повреждению памяти в скриптовом движкекритическийнетнет2N / ARCE
Уязвимость, приводящая к повреждению памяти в скриптовом движкекритическийнетнет2N / ARCE
Уязвимость, приводящая к повреждению памяти в скриптовом движкекритическийнетнет2N / ARCE
Уязвимость, приводящая к повреждению памяти в скриптовом движкекритическийнетнетN / A2RCE
Уязвимость удаленного выполнения кода в Windowsкритическийнетнет22RCE
Уязвимость Windows SSH, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость отказа в обслуживании в Windows Hyper-VВажныйнетнет22DoS
Уязвимость отказа в обслуживании в Windows Hyper-VВажныйнетнет2N / ADoS
Уязвимость отказа в обслуживании в протоколе удаленного рабочего стола Windows (RDP)Важныйнетнет22DoS
Уязвимость в Active Directory, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы подключенных устройств, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы подключенных устройств, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы подключенных устройств, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы подключенных устройств, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы подключенных устройств, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы подключенных устройств, приводящая к несанкционированному получению правВажныйнетнет22НКП
Опыт подключенных пользователей и сервис телеметрии, приводящий к несанкционированному получению правВажныйнетнет22НКП
Уязвимость DirectX, приводящая к несанкционированному получению правВажныйнетнетN / A2НКП
Уязвимость DirectX, приводящая к несанкционированному получению правВажныйнетнетN / A2НКП
Уязвимость Microsoft Edge, приводящая к несанкционированному получению правВажныйнетнет2N / AНКП
Уязвимость Microsoft Exchange Server, приводящая к несанкционированному получению правВажныйнетнет11НКП
Уязвимость Win32k, приводящая к несанкционированному получению правВажныйнетнет11НКП
Уязвимость Win32k, приводящая к несанкционированному получению правВажныйнетнет11НКП
Уязвимость Win32k, приводящая к несанкционированному получению правВажныйнетнет11НКП
Уязвимость Win32k, приводящая к несанкционированному получению правВажныйнетнет11НКП
Уязвимость Win32k, приводящая к несанкционированному получению правВажныйнетнет11НКП
Уязвимость Win32k, приводящая к несанкционированному получению правВажныйнетнет11НКП
Уязвимость Win32k, приводящая к несанкционированному получению правВажныйнетнет11НКП
Уязвимость Win32k, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость Win32k, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость Win32k, приводящая к несанкционированному получению правВажныйнетнет33НКП
Уязвимость службы резервного копирования Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы лицензий клиента Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость Windows COM Server, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость драйвера файловой системы общего журнала Windows, приводящая к несанкционированному получению правВажныйнетнет11НКП
Уязвимость службы обмена данными Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы обмена данными Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Сообщения об ошибках Windows, приводящие к несанкционированному получению правВажныйнетнет22НКП
Сообщения об ошибках Windows, приводящие к несанкционированному получению правВажныйнетнет22НКП
Уязвимость диспетчера отчетов об ошибках Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы обнаружения функций Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы обнаружения функций Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы обнаружения функций Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость графического компонента Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость графического компонента Windows, приводящая к несанкционированному получению правВажныйнетнет11НКП
Уязвимость графического компонента Windows, приводящая к несанкционированному получению правВажныйнетнет11НКП
Уязвимость Windows IME, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость ядра Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость ядра Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость ядра Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость ядра Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость ядра Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Средство удаления вредоносных программ для Windows, приводящее к несанкционированному получению правВажныйнетнет2N / AНКП
Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы профилей пользователей Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость Windows Wireless Network Manager, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость раскрытия информации в DirectXВажныйнетнет22Информация
Уязвимость раскрытия информации о графических компонентах MicrosoftВажныйнетнет22Информация
Уязвимость Win32k, приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость Win32k, приводящая к раскрытию информацииВажныйнетнетN / A2Информация
Уязвимость драйвера общей файловой системы Windows, приводящая к раскрытию информацииВажныйнетнет11Информация
Уязвимость Windows GDI, приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость раскрытия информации в WindowsВажныйнетнет22Информация
Уязвимость раскрытия информации о ядре WindowsВажныйнетнетN / A2Информация
Уязвимость службы изоляции ключей Windows, приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость службы изоляции ключей Windows, приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость службы изоляции ключей Windows, приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость службы изоляции ключей Windows, приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость службы изоляции ключей Windows, приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость службы изоляции ключей Windows, приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость службы установщика Windows, приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость спецификации сетевого драйвера Windows (NDIS), приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость удаленного выполнения кода в Microsoft ExcelВажныйнетнет22RCE
Уязвимость повреждения памяти в Microsoft ExchangeВажныйнетнет11RCE
Уязвимость служб удаленного выполнения кода служб отчетов Microsoft SQL ServerВажныйнетнет22RCE
Службы удаленных рабочих столов Уязвимость удаленного выполнения кодаВажныйнетнет22RCE
Уязвимость библиотеки Windows Imaging, делающая возможным удаленное выполнение кодаВажныйнетнет22RCE
Уязвимость, связанная с обходом функции безопасности Microsoft OutlookВажныйнетнет22SFB
Уязвимость, связанная с обходом функции безопасности Surface HubВажныйнетнет22SFB
Уязвимость Microsoft Office Online Server, подделывающая серверВажныйнетнет2N / Aмистификация
Уязвимость Microsoft Office, влияющая на фальсификациюВажныйнетнетN / A2фальсификация
Уязвимость Microsoft Office SharePoint XSSВажныйнетнет22XSS
Уязвимость Microsoft Office SharePoint XSSВажныйнетнет22XSS

Из оставшихся исправлений с критическим рейтингом CVE-2020-0662 выделяется больше всего. Эта ошибка Windows может позволить злоумышленнику выполнить свой код в уязвимой системе с повышенными разрешениями. Microsoft не предоставляет подробностей о том, какой конкретно повышенный уровень, но любое выполнение кода вызывает беспокойство. Похоже, что для использования этой ошибки злоумышленнику необходимо пройти проверку подлинности в домене, но никаких других мер по смягчению последствий не указано. Обратите внимание: Microsoft пересмотрела этот бюллетень после публикации, чтобы указать, что ошибка фактически находится в службе общего доступа к Интернету (ICS). Злоумышленник, отправляющий специально созданные пакеты на уязвимый DHCP-сервер. Если вы используете DHCP, вы показываете определенную приоритетность тестирования и развертывания этого патча.

Компонент Media Foundation также имеет исправленную ошибку выполнения кода, хотя она возникает на уровне вошедшего в систему пользователя. Клиент удаленного рабочего стола получает пару исправлений. Так как они на стороне клиента, они не являются червями а-ля Bluekeep. Служба удаленных рабочих столов получает исправление для ошибки выполнения кода, но злоумышленнику необходимо пройти проверку подлинности для злоупотребления перенаправлением буфера обмена. Это также удерживает эту ошибку от попадания в категорию с ошибками. Исправления с критической оценкой округлены еще полдюжиной исправлений для IE, но они не указаны как находящиеся под активной атакой на момент выпуска.

Глядя на исправления с рейтингом «Важный», объем исправляемых ошибок Elevation of Privilege (EoP) несколько колеблется: 55 исправлений нацелены на эти ошибки повышения привилегий. Большая часть этих исправлений влияет на ядро или драйверы режима ядра. Другие затронутые компоненты включают службу отчетов об ошибках, службу установщика, службу клиентских лицензий и службу платформы подключенных устройств. Даже Средство удаления вредоносных программ (MSRT) получает исправление EoP в этом месяце. Еще один интересный EoP влияет на компонент SSH и то, как он обрабатывает удаленные команды Secure Socket Shell. Две ошибки EoP в службе установщика Windows перечислены как общедоступные. Почти в каждом случае злоумышленнику потребуется войти в уязвимую систему и запустить специально созданную программу для повышения разрешений.

Ошибки раскрытия информации получили свою долю внимания в 16 исправлениях в феврале, включая последнюю общеизвестную ошибку, затрагивающую IE и Edge. Шесть из этих ошибок встречаются в разделе криптографии следующего поколения (CNG) службы изоляции ключей Windows. Злоумышленник, воспользовавшийся этими ошибками, может собрать данные о расположении памяти. Как говорит Microsoft, «информация, которая облегчает прогнозирование адресации памяти». Это ключевой элемент данных, необходимый для облегчения других эксплойтов.

Помимо упомянутого ранее обхода функции безопасности (SFB) в безопасной загрузке, есть также исправления для исправления SFB в Outlook и Surface Hub. Ошибка синтаксического анализа URI в Outlook должна быть объединена с другим эксплойтом для выполнения кода. Злоумышленник должен иметь физический доступ к чтобы использовать ошибку, получающую патч. Однако, если они находятся в одной комнате с устройством, они могут получить доступ к настройкам, обычно доступным только администраторам.

Завершая выпуск этого месяца, Office получает несколько исправлений для выполнения кода и подделки ошибок. Есть пара исправлений межсайтового скриптинга (XSS) для SharePoint. Наконец, Hyper-V и протокол удаленного рабочего стола получают исправления для устранения ошибок, связанных с отказом в обслуживании.
Хотя был выпущен сегодня, был переиздан на прошлой неделе. Кажется, именно здесь Microsoft документирует исправления для своего нового браузера Edge на основе Chromium. Со временем будет интересно посмотреть, сколько Microsoft будет иметь патчей для этого браузера. Google их собственный разрыв сократился до 15 дней, что может быть достаточно времени для продвинутых участников угрозы.

Что касается других рекомендаций, выпущенных сегодня, то первой является версия Microsoft вышеупомянутого патча для . Второе - это обновление Windows , которое теперь представляется стандартным ежемесячным обновлением.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!