- Месечното събитие Patch Tuesday носи на потребителите навсякъде общо 67 поправки.
- Почти половината от освободените пластири справяне с проблемите на потребителските права на компютър.
- EИзрязването на произволен код на компютъра на жертвата също е проблем, отстранен сега.
- Компонентът MSHTML на Microsoft Office също се използва активно.
Редовният набор от актуализации на компанията Redmond придобива най-голямо значение този месец, тъй като компанията пуска корекция за грешка с критична тежест.
Понастоящем това се споменава с референцията за обозначение на уязвимостта, CVE-2021-40444.
Знаем също, че в момента се използва в документи на Office, както и в значителни корекции за продукти на Microsoft и облачни услуги.
Microsoft поправя нарушения на сигурността чрез Patch Tuesday
По време на събитието Patch вторник този месец Microsoft пусна общо 67 поправки за много от своите продукти.
Най -големият брой поправки, който е 27, е за отстраняване на проблеми, които нападателят може да използва, за да повиши собственото си ниво на привилегии на компютър.
Ако се чудите за второто по големина число, което в случая е 14, обърнете внимание на способността на нападателя да изпълнява произволен код на компютъра на жертвата.
Важно е да знаете, че всички критични уязвимости, с изключение на една, попадат в категорията Remote Code Execution.
Това включва грешка -40444, която е наречена Уязвимост от отдалечено изпълнение на код на Microsoft MSHTML.
Критичната уязвимост, която не е RCE, е грешка при разкриване на информация, която засяга Лазурна сфера (CVE-2021-36956), платформа, създадена от Microsoft, която има за цел да добави защитен слой към устройства с интернет на нещата (IoT).
Някои от неприятните грешки, засягащи браузъра Edge както на платформите Android, така и на iOS, също бяха отстранени от технологичния гигант.
Потребителите на този браузър на тези устройства задължително ще трябва да получат своите фиксирани версии от подходящ магазин за приложения за тяхното устройство, като и двете са обект на уязвимост, която Microsoft описва като измама.
Критичните уязвимости, засягащи самия Windows (CVE-2021-36965 и CVE-2021-26435), се отнасят за компонент, наречен WLAN AutoConfig Service.
Ако не знаете, това е част от механизма, който Windows 10 използва, за да избере безжичната мрежа, към която компютърът ще се свърже, и съответно към Windows Scripting Engine.
Microsoft не предостави допълнителна информация преди крайния срок за пускане на Patch Tuesday за механизма, чрез който тези грешки изпълняват код в системата.
Разработчиците на Redmond се справят с огромната грешка в Office този месец
След като тази грешка беше открита и стана известна на обществеността на 7 септември, изследователите и анализаторите по сигурността започнаха да разменят примери за доказателство за концепцията за това как нападателят може да използва експлоатацията.
За съжаление, високият профил на тази грешка означава, че нападателите ще обърнат внимание и е вероятно да започнат да използват уязвимостта.
Тази гадна грешка включва MSHTML компонента на Microsoft Office, който може да изобразява страници на браузъра в контекста на документ на Office.
В експлоатацията на грешката, нападателят създава злонамерено създаден ActiveX контрол и след това вгражда код в документ на Office, който извиква ActiveX контролата, когато документът се отвори или визуализиран.
Етапите на атаката са най -общо казано:
- Target получава .docx или .rtf Office документ и го отваря
- Документът изтегля отдалечен HTML от злонамерен уеб адрес
- Зловредният уебсайт доставя .CAB архив на компютъра на целта
- Експлойтът стартира изпълним файл отвътре .CAB (обикновено се нарича с разширение .INF)
Зловредният скрипт използва вградения манипулатор за .cpl файлове (Контролен панел на Windows), за да стартирате файла с разширение .inf (което всъщност е злонамерен .dll), извлечен от .cab файла.
Много хора не само са създали функционални подвизи за доказателство за концепцията (PoC), но няколко са създали и публикувани инструменти за създаване, които всеки може да използва, за да оръжия документ на Office.
Първоначалната версия на експлоатацията използва Microsoft Word.docx документи, но вече забелязахме някои версии, които използват.rtf файлови разширения.
Нападателите използват техниките не само за стартиране на .exe файлове, но и за злонамерени .dll файлове, като използват rundll32. Няма причина да се смята, че експлоатацията няма да разшири обхвата им и до други типове документи на Office.
Хубаво е да знаем, че служителите на Редмънд правят всичко възможно, за да ни пазят, но всичко е за общи усилия, така че ние също трябва да свършим нашата работа.
Какво мислите за актуализациите на Patch Tuesday за този месец? Споделете мнението си с нас в секцията за коментари по -долу.
