• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Гостевая статья ОБЗОР ОБНОВЛЕНИЙ БЕЗОПАСНОСТИ ЗА МАРТ 2020 ГОДА

Adobe патчи за март 2020

В марте Adobe закончила выпуск своих обновлений безопасности 17 марта - на неделю позже, чем обычно. Релиз состоит из шести бюллетеней, посвященных 41 уникальному CVE в Adobe Acrobat и Reader, Photoshop, ColdFusion, Bridge, Experience Manager и службе подлинной целостности Adobe. В общей сложности 15 из этих CVE прошли через программу ZDI.
Обновление для исправляет девять критических и четыре важные оценки. В худшем случае злоумышленник может выполнить код в целевой системе на уровне вошедшего в систему пользователя. В патче исправлены 16 критических и шесть важных уязвимостей, худшая из которых может позволить выполнение кода, если пользователь откроет специально созданный файл. патч исправляет две критические ошибки рейтингом. Худшее из них может позволить выполнение кода файлов, расположенных в webroot или в одном из его подкаталогов. В обновлении исправлены две ошибки с критической оценкой - запись за пределами допустимой границы (OOB) и переполнение буфера в куче.
Оба и обновления рейтинга Важно. Исправление Experience Manager исправляет несколько ошибок раскрытия информации, в то время как исправление Подлинная служба целостности исправляет повышение привилегий. Ни одна из ошибок не указана как общедоступная или под активной атакой на момент выпуска.

Microsoft исправления на март 2020

В марте Microsoft выпустила исправления для массива 115 CVE, охватывающих Microsoft Windows, Edge (на основе EdgeHTML и Chromium), ChakraCore, Internet Explorer (IE), Exchange Server, офисные и офисные службы и веб-приложения, DevOps Azure, Защитник Windows Visual Studio и программное обеспечение с открытым исходным кодом. Из этих 115 26 отмечены как критические, 88 указаны как важные, а один - как средний по серьезности. Семь из этих уязвимостей были зарегистрированы через программу ZDI. Ни одна из исправляемых ошибок не указана как общедоступная или под активной атакой на момент выпуска. Первый квартал 2020 года, безусловно, был насыщенным для патчей Microsoft. Включая сегодняшние патчи, в первом квартале было 265 патчей. Будет интересно посмотреть, будет ли этот темп продолжаться в течение всего года.
Давайте подробнее рассмотрим некоторые из наиболее интересных обновлений этого месяца, начиная с ошибки, которая наверняка станет хитом для авторов вредоносных программ:
Обновление: после патча во вторник, Microsoft выпустила следующие CVE вне диапазона:

- - Уязвимость клиента / сервера Windows SMBv3, связанная с удаленным выполнением кода Эта ошибка, выпущенная в четверг после исправления во вторник, делает возможным удаленное выполнение кода через уязвимость, обнаруженную в сжатии SMBv3. Эта ошибка допускает ошибки между серверами SMBv3, но не клиентами SMBv3. Вы можете отключить сжатие SMBv3 в качестве обходного пути, и это можно сделать через PowerShell и без перезагрузки. Если вы можете, вы также должны заблокировать TCP-порт 445 по периметру. На данный момент эта ошибка активно не используется, но подобные ошибки использовались в WannaCry и EternalBlue. Обязательно протестируйте и примените этот патч как можно скорее.

- - Уязвимость удаленного выполнения кода в Microsoft Word Большинство ошибок выполнения кода в продуктах Office требуют, чтобы пользователь открыл специально созданный файл, и, таким образом, имеют важное значение для серьезности. Эта ошибка Word с критическим рейтингом не требует такого взаимодействия с пользователем. Вместо этого простой просмотр специально созданного файла в области предварительного просмотра может позволить выполнение кода на уровне вошедшего в систему пользователя. Отправка вредоносных документов по электронной почте - обычная тактика для авторов вредоносных программ и вымогателей. Наличие ошибки, которая не требует, чтобы кто-то обманул человека в открытии файла, будет им заманчиво.

- - Dynamics Business Central, удаленным выполнением кода Эта ошибка в решении для управления бизнесом может позволить злоумышленникам выполнить произвольные команды оболочки в целевой системе. Использование этой критической ошибки не будет простым, поскольку злоумышленнику, прошедшему проверку подлинности, потребуется убедить цель подключиться к вредоносному клиенту Dynamics Business Central или повысить разрешение System для выполнения кода. Тем не менее, учитывая, что цель, скорее всего, является критически важным сервером, вам следует быстро протестировать и развернуть этот патч.

- - LNK, удаленным выполнением кода Если это кажется знакомым, это может быть связано с тем, что Microsoft выпустила почти идентичный патч для LNK в прошлом месяце ( ). Последовательные патчи являются индикатором неудачного патча, но меньшее число CVE для ошибки этого месяца заставляет меня думать, что это не тот случай. В любом случае, злоумышленник может использовать эту уязвимость для выполнения кода, если задействованная система обрабатывает специально созданный файл .LNK, поэтому оставьте только те отрывочные USB-накопители, которые вы нашли на парковке.

- - Уязвимость удаленного выполнения кода в инспекторе приложений Эта ошибка может позволить злоумышленнику выполнить свой код в целевой системе, если он сможет убедить пользователя запустить инспектор приложений в коде, который содержит специально созданный сторонний компонент. Хотя Microsoft не перечисляет это как общедоступное на момент выпуска, похоже, что это было на самом деле исправлено в версии 1.0.24, выпущенной еще в январе . Непонятно, почему он включен в релиз патча этого месяца, но если вы используете Application Inspector, обязательно скачайте новую версию.

Вот полный список CVE, выпущенных Microsoft за март 2020 года.


CVEзаглавиеСтрогостьобщественногоэксплуатируемыйXI - последнийXI - старшеВлияние
Уязвимость в Microsoft Word, связанная с удаленным выполнением кодакритическийнетнет22RCE
Уязвимость в Dynamics Business Central, связанная с удаленным выполнением кодакритическийнетнет22RCE
Уязвимость удаленного выполнения кода LNKкритическийнетнет22RCE
Уязвимость, приводящая к повреждению памяти в скриптовом движке Chakraкритическийнетнет2N / ARCE
Уязвимость, приводящая к повреждению памяти в скриптовом движке Chakraкритическийнетнет2N / ARCE
Уязвимость GDI +, связанная с удаленным выполнением кодакритическийнетнет22RCE
Уязвимость GDI +, связанная с удаленным выполнением кодакритическийнетнет22RCE
Уязвимость Media Foundation, приводящая к повреждению памятикритическийнетнет22RCE
Уязвимость Media Foundation, приводящая к повреждению памятикритическийнетнет22RCE
Уязвимость Media Foundation, приводящая к повреждению памятикритическийнетнет22RCE
Уязвимость Media Foundation, приводящая к повреждению памятикритическийнетнет22RCE
Уязвимость браузера Microsoft, приводящая к повреждению памятикритическийнетнет2N / ARCE
Уязвимость браузера Microsoft, приводящая к повреждению памятикритическийнетнет2N / ARCE
Уязвимость Microsoft Edge Memory, приводящая к повреждению памятикритическийнетнет2N / ARCE
Уязвимость, приводящая к повреждению памяти в скриптовом движкекритическийнетнет2N / ARCE
Уязвимость, приводящая к повреждению памяти в скриптовом движкекритическийнетнет2N / ARCE
Уязвимость, приводящая к повреждению памяти в скриптовом движкекритическийнетнет2N / ARCE
Уязвимость, приводящая к повреждению памяти в скриптовом движкекритическийнетнет2N / ARCE
Уязвимость, приводящая к повреждению памяти в скриптовом движкекритическийнетнет2N / ARCE
Уязвимость, приводящая к повреждению памяти в скриптовом движкекритическийнетнет2N / ARCE
Уязвимость, приводящая к повреждению памяти в скриптовом движкекритическийнетнет2N / ARCE
Уязвимость, приводящая к повреждению памяти в скриптовом движкекритическийнетнет11RCE
Уязвимость, приводящая к повреждению памяти в скриптовом движкекритическийнетнет1N / ARCE
Уязвимость, приводящая к повреждению памяти в скриптовом движкекритическийнетнет2N / ARCE
Уязвимость удаленного выполнения кода в VBScriptкритическийнетнет1N / ARCE
Уязвимость удаленного выполнения кода в VBScriptкритическийнетнет11RCE
Уязвимость Azure DevOps, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость Azure DevOps, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость сервера Azure DevOps, связанная с межсайтовым скриптингомВажныйнетнет22XSS
Опыт подключенных пользователей и сервис телеметрии, приводящий к несанкционированному получению правВажныйнетнет22НКП
Уязвимость подключенных пользователей и информация об услугах телеметрии, приводящая к раскрытию информацииВажныйнетнет22Информация
Диагностический центр Стандартный коллектор Уязвимость повышения привилегийВажныйнетнет22НКП
Уязвимость DirectX, приводящая к несанкционированному получению правВажныйнетнет11НКП
Уязвимость Media Foundation, раскрывающая информациюВажныйнетнет22Информация
Уязвимость Защитника Microsoft, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость Защитника Microsoft, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость подделки Microsoft Exchange ServerВажныйнетнет22мистификация
Уязвимость сервера Microsoft IIS, подделывающая серверВажныйнетнет22фальсификация
Уязвимость Microsoft Office SharePoint XSSВажныйнетнет22XSS
Уязвимость Microsoft Office SharePoint XSSВажныйнетнет22XSS
Уязвимость Microsoft SharePoint, связанная с отражением XSSВажныйнетнетN / A2XSS
Уязвимость Microsoft SharePoint, связанная с отражением XSSВажныйнетнет22XSS
Уязвимость подделки Microsoft Visual StudioВажныйнетнет22мистификация
Уязвимость в Microsoft Word, связанная с удаленным выполнением кодаВажныйнетнет22RCE
Уязвимость в Microsoft Word, связанная с удаленным выполнением кодаВажныйнетнет22RCE
Уязвимость в Microsoft Word, связанная с удаленным выполнением кодаВажныйнетнет22RCE
Уязвимость в Microsoft Word, связанная с удаленным выполнением кодаВажныйнетнет22RCE
Уязвимость, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость удаленного выполнения кода в инспекторе приложенийВажныйнетнет22RCE
Уязвимость механизма сценариев, приводящая к раскрытию информацииВажныйнетнет2N / AИнформация
Service Fabric Elevation of PrivilegeВажныйнетнет22НКП
Уязвимость установщика расширений Visual Studio, приводящая к отказу в обслуживанииВажныйнетнет22DoS
Уязвимость Win32k, приводящая к несанкционированному получению правВажныйнетнет11НКП
Уязвимость Win32k, приводящая к несанкционированному получению правВажныйнетнет11НКП
Уязвимость Win32k, приводящая к несанкционированному получению правВажныйнетнет11НКП
Уязвимость Win32k, приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость службы установщика Windows ActiveX, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы установщика Windows ActiveX, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы установщика Windows ActiveX, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость Windows ALPC, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость Windows Background Intelligent Transfer Service, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость Windows CSC, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость Windows CSC, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость диспетчера установки Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость центра диагностики Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Сообщения об ошибках Windows, приводящие к несанкционированному получению правВажныйнетнет22НКП
Сообщения об ошибках Windows, приводящие к несанкционированному получению правВажныйнетнет22НКП
Уязвимость, приводящая к раскрытию информации об ошибках WindowsВажныйнетнет22Информация
Уязвимость Windows GDI, приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость Windows GDI, приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость Windows GDI, приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость Windows GDI, приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость Windows GDI, приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость графического компонента Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость графического компонента Windows, приводящая к несанкционированному получению правВажныйнетнетN / A1НКП
Уязвимость раскрытия информации о графических компонентах WindowsВажныйнетнет22Информация
Уязвимость Windows Hard Link, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость Windows Hard Link, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость Windows Hard Link, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость Windows Hard Link, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость компонента Windows Imaging, приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость установщика Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость установщика Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость установщика Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость установщика Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость установщика Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость ядра Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость установщика языковых пакетов Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Диагностика Windows Mobile Device Management Уязвимость, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы установщика Windows, приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость службы сетевых подключений Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы сетевых подключений Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы сетевых подключений Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы сетевых подключений Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы сетевых подключений Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы сетевых подключений Windows, приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость спецификации сетевого драйвера Windows (NDIS), приводящая к раскрытию информацииВажныйнетнет22Информация
Уязвимость службы списка сетей Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость, приводящая к отказу в обслуживании объекта Windows TileВажныйнетнет22DoS
Уязвимость службы Windows Update Orchestrator, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы Windows Update Orchestrator, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость Windows UPnP, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость Windows UPnP, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы профилей пользователей Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы рабочих папок Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы рабочих папок Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы рабочих папок Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы рабочих папок Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы рабочих папок Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы рабочих папок Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость службы рабочих папок Windows, приводящая к несанкционированному получению правВажныйнетнет22НКП
Уязвимость диспетчера подключений к удаленному рабочему столу, приводящая к раскрытию информацииумеренныйнетнет22Информация

Из оставшихся исправлений с критической оценкой все они так или иначе связаны с веб-браузерами. Патчи либо напрямую влияют на сам браузер, либо имеют некоторую форму сценария просмотра и собственного просмотра. Конечно, мы привыкли видеть большое обновление для браузеров (и других целей) до Pwn2Own, которое произойдет в Ванкувере на следующей неделе. Посмотрим, повлияет ли какой-либо из этих патчей на участников, у которых есть возможность участвовать в дистанционном соревновании в этом году.

Если посмотреть на исправления с рейтингом «Важно», то ошибки Elevation of Privilege (EoP) представляют собой более половины мартовского релиза, и в общей сложности было исправлено 60 EoP. Из этих ошибок выделяются обновления для Защитника Windows. Хотя обновления для Защитника Windows не требуют взаимодействия с пользователем, эти исправления предназначены для Центра безопасности Защитника Windows и должны применяться. Это определенно то, что может привести к некоторой путанице. Несколько ошибок EoP влияют на компоненты подсистемы Windows Installer. Чтобы использовать их, злоумышленнику необходимо иметь права на выполнение кода в целевой системе. На практике злоумышленник, скорее всего, обманом заставит пользователя запустить приложение, чтобы получить повышение привилегий.

В Azure Service Fabric есть обновление для EoP, которое немного нестандартно. Злоумышленник, не прошедший проверку подлинности, может получить права на службу хранилища файлов Service Fabric, если узел открыт внешним образом. Также необходимо убедиться, что вы используете последнее накопительное обновление (Service Fabric 7.0 CU3) перед обновлением до CU4. Многие другие компоненты Windows получают исправления ошибок EoP, но ни один из них не выделяется. Если вам нужно расставить приоритеты, сосредоточьтесь на ошибках ядра и тех, у кого высокий рейтинг эксплойтов.

В этом месяце сервер Exchange получает обновление для ошибки межсайтового скриптинга (XSS). Это не так серьезно, как исправление ошибки Exchange в , которая, как сообщается, сейчас подвергается . Сервер IIS получает исправление для ошибки подделки. Злоумышленник может использовать эту ошибку для изменения ответов, возвращаемых клиентам.

Есть 16 исправлений для ошибок раскрытия информации. Наиболее заметной является ошибка со средним рейтингом в диспетчере подключений к удаленному рабочему столу. Хотя раскрытие информации само по себе не очень интересно, для этой уязвимости нет исправления. Microsoft заявляет, что исправляет эту уязвимость и устарела. Эта ошибка может позволить злоумышленнику прочитать произвольные файлы с помощью объявления внешнего объекта XML (XXE).

Завершая выпуск этого месяца, в Windows и Visual Studio исправлено несколько ошибок типа «отказ в обслуживании» (DoS). Office получает еще несколько патчей, где панель предварительного просмотра не является вектором атаки. Наконец, есть исправления для ошибок XSS в SharePoint и сервере Azure DevOps.

В этом месяце нет новых рекомендаций. Существует обновление Windows , которое теперь кажется стандартным ежемесячным обновлением.
 
  • Нравится
Реакции: Morbus
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!