• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Гостевая статья ОБЗОР ОБНОВЛЕНИЙ БЕЗОПАСНОСТИ ЗА ЯНВАРЬ 2020 ГОДА

Adobe патчи для января 2020

Adobe начинает год только с двух исправлений, касающихся девяти CVE. Обновление для исправляет пять CVE с критическим рейтингом. Все эти ошибки могли позволить выполнение кода, если пользователь открыл специально созданный файл. Обновление для исправляет три ошибки раскрытия важной и одной умеренной информации. Ни одна из этих уязвимостей не указана как общедоступная или под активной атакой на момент выпуска.
Citrix Patches за январь 2020 года
Обычно мы не обсуждаем исправления Citrix в этом блоге, но недавняя ошибка ( ) была описана как «одна из самых опасных ошибок, обнаруженных за последние годы», и была использована эксплойтная концепции. обнародован. Что еще хуже, патчи еще не доступны, но запланированы на конец этого месяца. Если вы используете Citrix, вы должны следовать опубликованным мерам по снижению вреда и надеяться применить исправления, как только они станут доступны.

Microsoft исправления на январь 2020

Прежде чем мы перейдем к исправлениям этого месяца, я вкратце хотел напомнить всем, что поддержка Windows 7 . Хотя Microsoft не обязательно будет выпускать новые исправления для почтенной ОС, злоумышленники, безусловно, будут продолжать создавать новые эксплойты. Вы определенно должны работать над своей стратегией перехода на поддерживаемую платформу.
В январе Microsoft выпустила исправления для 49 CVE, включающие Microsoft Windows, Internet Explorer (IE), Office и Office Services и веб-приложения, ASP.NET, .NET Core, .NET Framework, современные приложения и Microsoft Dynamics. Пять из этих CVE были представлены через программу ZDI. Из этих 49 CVE восемь указаны как критические, а 41 - как важные по серьезности. Согласно Microsoft, ни один из них не является общеизвестным или находится под активной атакой на момент выпуска. Тем не менее, было несколько сообщений об ошибке IE . Похоже, что ошибка не устранена ни одним из этих патчей.

Давайте внимательнее посмотрим на некоторые из наиболее интересных обновлений этого месяца, начиная с ошибки, связанной с криптографией, в которой циркулирует мельница слухов:

- - Уязвимость Windows CryptoAPI, Несмотря на то, что эта ошибка указана только как Важная по серьезности, она может оказать серьезное влияние и должна быть в верхней части списка каждого. Эта уязвимость может позволить злоумышленнику создать сертификат для подписи кода для подписи вредоносного исполняемого файла, создавая впечатление, что файл был из надежного, законного источника. Нетрудно представить, как злоумышленники могут использовать эту тактику. Например, вымогателей или других шпионских программ гораздо проще установить, когда они имеют действительный сертификат. Патч также создает новую запись в журналах событий Windows, если кто-то пытается использовать поддельный сертификат для исправленной (и перезагруженной) системы. Это важно и поможет администраторам определить, нацелены ли они. В статье Microsoft кредитует Агентство национальной безопасности (NSA) за сообщение об этой ошибке,

- - Уязвимость сервера Windows RDP Gateway, удаленное выполнение кода, я мог бы также легко перечислить здесь , так как запись от Microsoft идентична для обеих ошибок. Злоумышленник, воспользовавшийся любой из этих ошибок, может получить выполнение кода на затронутых серверах шлюза RDP. Это выполнение кода происходит на уровне сервера и является предавторизованным и не взаимодействует с пользователем. Это означает, что эти ошибки исправимы - по крайней мере, между серверами RDP Gateway. Хотя он не так широко распространен, как системы, подверженные влиянию Bluekeep, он, безусловно, представляет собой привлекательную цель для атакующих.

- - Уязвимость клиента удаленного рабочего стола, удаленное выполнение кода, хотя и не столь серьезная, как ранее упомянутые ошибки RDP, эта уязвимость на стороне клиента заслуживает некоторого внимания. Злоумышленник может захватить уязвимую систему, если сможет убедить пользователя подключиться к вредоносному RDP-серверу. Из-за этого требования это может показаться не столь критичным. Однако объедините эту ошибку на стороне клиента с двумя ошибками на стороне сервера, выпущенными в этом же месяце, и вся цепочка эксплойтов станет понятной.

Вот полный список CVE, выпущенных Microsoft за январь 2020 года:


CVEзаглавиеСтрогостьобщественногоэксплуатируемыйXI - последнийXI - старшеТип
Уязвимость ASP.NET Core в удаленном выполнении кодакритическийнетнет22RCE
Уязвимость удаленного выполнения кода в .NET Frameworkкритическийнетнет22RCE
Уязвимость удаленного выполнения кода в .NET Frameworkкритическийнетнет22RCE
Уязвимость сервера Windows RDP Gateway, делающая возможным удаленное выполнение кодакритическийнетнетN / A1RCE
Уязвимость сервера Windows RDP Gateway, делающая возможным удаленное выполнение кодакритическийнетнетN / A1RCE
Уязвимость клиента удаленного рабочего стола, делающая возможным удаленное выполнение кодакритическийнетнет22RCE
Уязвимость Internet Explorer, приводящая к повреждению памятикритическийнетнет22RCE
Уязвимость удаленного выполнения кода в .NET Frameworkкритическийнетнет22RCE
Уязвимость Windows CryptoAPI, приводящая к подделкеВажныйнетнет11мистификация
Уязвимость ASP.NET Core, приводящая к отказу в обслуживанииВажныйнетнет22DoS
Уязвимость раскрытия информации о графических компонентах MicrosoftВажныйнетнет22Информация
Уязвимость Win32k, приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость сервера шлюза протокола удаленного рабочего стола Windows (RDP), приводящая к отказу в обслуживанииВажныйнетнетN / A2DoS
Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость драйвера общей файловой системы Windows, приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость отказа в обслуживании в Microsoft WindowsВажныйнетнет22DoS
Уязвимость Hyper-V, приводящая к отказу в обслуживанииВажныйнетнетN / A2DoS
Уязвимость служб криптографии, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость, связанная с обходом функции безопасности WindowsВажныйнетнетN / A2SFB
Уязвимость, связанная с раскрытием информации о графических компонентах MicrosoftВажныйнетнетN / A2Информация
Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость Win32k, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость драйвера файловой системы общего журнала Windows, приводящая к несанкционированному получению правВажныйнетнет11НКП
Уязвимость Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Подсистема Windows для Linux, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость веб-доступа к удаленному рабочему столу, приводящая к раскрытию информацииВажныйнетнетN / A2Информация
Обновление диспетчера уведомлений, приводящее к несанкционированному получению правВажныйнетнет22НКП
Уязвимость драйвера общей файловой системы Windows, приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость повышения привилегий в Microsoft WindowsВажныйнетнет22НКП
Уязвимость Win32k, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость Windows GDI +, связанная с раскрытием информацииВажныйнетнет22Информация
Уязвимость Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость Microsoft Office Online, связанная с подделкойВажныйнетнет2N / Aмистификация
Уязвимость удаленного выполнения кода в Microsoft ExcelВажныйнетнет22RCE
Уязвимость удаленного выполнения кода в Microsoft ExcelВажныйнетнет22RCE
Уязвимость повреждения памяти в Microsoft OfficeВажныйнетнет22RCE
Уязвимость удаленного выполнения кода в Microsoft ExcelВажныйнетнетN / A2RCE
Уязвимость, связанная с обходом функции безопасности Microsoft OneDrive для AndroidВажныйнетнет22SFB
Уязвимость межсайтового скриптинга в Microsoft Dynamics 365 (локальная)Важныйнетнет22XSS

Из оставшихся исправлений с критическим рейтингом один предназначен для IE, но, опять же, он не указан как общеизвестный или под активной атакой. Есть также три критических патча для .NET Framework и один для ASP.NET.

Большинство из них требуют, чтобы пользователь открыл специально созданный файл в уязвимой системе. Однако в CVE-2020-0646 злоумышленник может передать определенный ввод приложению, использующему чувствительные методы .NET, чтобы добиться выполнения кода. Выполнение кода будет происходить на уровне вошедшего в систему пользователя, что дает нам еще один момент напоминать вам не входить с правами администратора, чтобы выполнять свою повседневную работу.

Если посмотреть на обновления с рейтингом «Важные», сразу выделяются 12 обновлений для индексатора поиска Windows. Рецензии на эти дюжины ошибок идентичны, и все они были опубликованы одним и тем же исследователем. Весь список неправильной обработки объектов в памяти как причина. В каждом случае локальный пользователь может запускать специально созданное приложение для повышения привилегий. В целом, патчи от 21 января связаны с локальным повышением привилегий в той или иной форме. Затрагиваемые компоненты включают подсистему Windows для Linux, диспетчер уведомлений об обновлениях, ядро Windows и криптографические службы Microsoft.

В этом месяце есть две ошибки обхода функции безопасности, и обе заслуживают упоминания. Первый связан с созданием пароля, и похоже, что для его использования понадобится творческий подход. Злоумышленник может создать фильтр паролей при создании нового пароля, что приведет к блокировке пароля. Я хотел бы услышать историю о том, как исследователи обнаружили этот сценарий. Другой обходной путь для приложения OneDrive для Android может позволить злоумышленнику обойти требования приложения, касающиеся кода доступа или отпечатка пальца. Для этой ошибки вам нужно скачать обновление через магазин Google Play.

В Excel и Office исправлено несколько ошибок RCE. Ни одна из этих ошибок не включает панель предварительного просмотра и требует взаимодействия с пользователем. Есть также несколько ошибок раскрытия информации, адресованных в различных компонентах Windows. В этом месяце исправлено четыре ошибки отказа в обслуживании (DoS). Проблема с жесткими ссылками может привести к зависанию сервера Windows. Серверы шлюза RDP также получают исправление для исправления уязвимости, которая позволит удаленному злоумышленнику отключить сервер шлюза RDP. Также есть исправления для устранения ошибок DoS в Hyper-V и ASP.NET Core.

Подводя итог этому выпуску, в Office есть ошибка подделки, которая может допускать атаки между источниками на уязвимые системы. В последнем патче от Microsoft за январь исправлена ошибка межсайтового скриптинга (XSS) в Microsoft Dynamics 365 (локальная версия).

В этом месяце не было выпущено никаких рекомендаций по безопасности.


Источник:
 
  • Нравится
Реакции: Morbus
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!