- ამ თვის Patch სამშაბათის ღონისძიებას მომხმარებლებს ყველგან 67 შეკეთება მოაქვს.
- პატჩების თითქმის ნახევარი გამოვიდა კომპიუტერში მომხმარებლის პრივილეგიების საკითხების მოგვარება.
- ემსხვერპლის კომპიუტერზე თვითნებური კოდის დაშლა ასევე პრობლემაა, რომელიც ახლა დაფიქსირებულია.
- ასევე აქტიურად გამოიყენება Microsoft Office– ის MSHTML კომპონენტი.
რედმონდის კომპანიის რეგულარული განახლებები ამ თვეში უდიდეს მნიშვნელობას იძენს, რადგან კომპანია გამოსცემს კრიტიკული სიმძიმის ხარვეზის გამოსწორებას.
ეს ამჟამად მითითებულია მისი დაუცველობის აღნიშვნის მითითებით, CVE-2021-40444.
ჩვენ ასევე ვიცით, რომ ამჟამად მისი ექსპლუატაცია ხდება საოფისე დოკუმენტებში, ასევე მნიშვნელოვანი წერთ Microsoft- ის პროდუქტებსა და ღრუბლოვან სერვისებში.
Microsoft აფიქსირებს უსაფრთხოების დარღვევებს Patch სამშაბათის საშუალებით
ამ თვის Patch სამშაბათის ღონისძიების დროს, Microsoft– მა გამოუშვა 67 გამოსწორება მის ბევრ პროდუქტზე.
ყველაზე დიდი რაოდენობის გამოსწორება, რომელიც არის 27, იყო პრობლემების გამოსწორება, რომელიც თავდამსხმელმა შესაძლოა გამოიყენოს კომპიუტერში საკუთარი პრივილეგიების დონის ასამაღლებლად.
თუ თქვენ გაინტერესებთ სიდიდით მეორე რიცხვი, რომელიც ამ შემთხვევაში არის 14, მიმართეთ თავდამსხმელის უნარს მსხვერპლის კომპიუტერზე თვითნებური კოდის შესრულების.
მნიშვნელოვანია იცოდეთ, რომ ყველა გარდა ერთი კრიტიკული მოწყვლადობისა მიეკუთვნება დისტანციური კოდის შესრულების კატეგორიას.
ეს მოიცავს -40444 შეცდომას, რომელსაც მეტსახელად Microsoft MSHTML დისტანციური კოდის შესრულების დაუცველობა.
არა-RCE კრიტიკული დაუცველობა არის ინფორმაციის გამჟღავნების შეცდომა, რომელიც გავლენას ახდენს ცისფერი სფერო (CVE-2021-36956), პლატფორმა Microsoft- მა შექმნა, რომელიც გამიზნულია უსაფრთხოების ფენის დასამატებლად ინტერნეტ-საგნების (IoT) მოწყობილობებისთვის.
ზოგიერთი უსიამოვნო შეცდომა, რომელიც გავლენას ახდენს Edge ბრაუზერში, როგორც Android, ასევე iOS პლატფორმებზე, ასევე ტექნიკურმა გიგანტმა გაასწორა.
ამ მოწყობილობების ბრაუზერის მომხმარებლებს აუცილებლად მოუწევთ მათი ფიქსირებული ვერსიების მიღება შესაბამისი აპლიკაციის მაღაზია მათი მოწყობილობისთვის, ორივე მათგანი დაუცველია, რომელსაც Microsoft აღწერს გაყალბება
კრიტიკული დაუცველობა, რომელიც გავლენას ახდენს თავად Windows- ზე (CVE-2021-36965 და CVE-2021-26435) ვრცელდება კომპონენტზე, სახელწოდებით WLAN AutoConfig Service.
თუ არ იცოდით, ეს არის იმ მექანიზმის ნაწილი, რომელსაც Windows 10 იყენებს უკაბელო ქსელის შესარჩევად, რომელსაც კომპიუტერი დაუკავშირდება და, შესაბამისად, Windows Scripting Engine.
მაიკროსოფტმა არ მისცა დამატებითი ინფორმაცია Patch სამშაბათის გამოქვეყნებამდე, თუ რა მექანიზმია, რომლითაც ეს შეცდომები ასრულებს კოდს სისტემაში.
Redmond– ის დეველოპერები ამ თვეში ებრძვიან უზარმაზარ საოფისე შეცდომებს
მას შემდეგ, რაც ეს ხარვეზი აღმოაჩინეს და გახდა ცნობილი 7 სექტემბერს, უსაფრთხოების მკვლევარებმა და ანალიტიკოსებმა დაიწყეს კონცეფციის მტკიცებულებების შეცვლა იმის შესახებ, თუ როგორ შეიძლება თავდამსხმელმა გამოიყენოს ეს ექსპლუატაცია.
სამწუხაროდ, ამ ხარვეზის მაღალი პროფილი ნიშნავს, რომ თავდამსხმელებმა ყურადღება მიაქციეს და სავარაუდოდ დაიწყებენ დაუცველობის ექსპლუატაციას.
ეს უსიამოვნო შეცდომა მოიცავს Microsoft Office– ის MSHTML კომპონენტს, რომელსაც შეუძლია ბრაუზერის გვერდების გადატანა საოფისე დოკუმენტის კონტექსტში.
ხარვეზის ექსპლუატაციისას თავდამსხმელი ქმნის ბოროტად შემუშავებულ ActiveX კონტროლს და შემდეგ ათავსებს კოდს საოფისე დოკუმენტში, რომელიც იძახებს ActiveX კონტროლს, როდესაც დოკუმენტი იხსნება ან გადახედულია
თავდასხმის ეტაპები, ზოგადად, შემდეგია:
- Target იღებს .docx ან .rtf საოფისე დოკუმენტს და ხსნის მას
- დოკუმენტი ამოიღებს დისტანციურ HTML მავნე ვებ მისამართიდან
- მავნე ვებ – გვერდი აწვდის .CAB არქივს სამიზნე კომპიუტერს
- ექსპლოიტი იწყებს შემსრულებელს .CAB– დან შიგნიდან (ჩვეულებრივ სახელდება .INF გაფართოებით)
მავნე სკრიპტირება იყენებს ჩაშენებულ დამმუშავებელს .cpl ფაილები (Windows Control Panel), რათა გაუშვათ ფაილი .inf გაფართოებით (რაც სინამდვილეში არის მავნე .dll) .cab ფაილიდან.
ბევრმა ადამიანმა არა მხოლოდ შეიმუშავა კონცეფციის დამამტკიცებელი ფუნქცია (PoC), არამედ რამდენიმემ შექმნა და გამოაქვეყნა შემქმნელი ინსტრუმენტები, რომელთა გამოყენება ყველას შეუძლია საოფისე დოკუმენტის იარაღის შესაქმნელად.
ექსპლოიტის ორიგინალური ვერსია იყენებდა Microsoft Word- ს.docx დოკუმენტები, მაგრამ ჩვენ უკვე შევამჩნიეთ ზოგიერთი ვერსია, რომელიც იყენებს.rtf ფაილის გაფართოებები.
თავდამსხმელები იყენებენ ტექნიკას არა მხოლოდ .exe ფაილების გასაშვებად, არამედ მავნე .dll ფაილების გამოყენებით rundll32. არ არსებობს საფუძველი იმის დასაჯერებლად, რომ ექსპლუატაცია არ გააფართოვებს მათ სპექტრს სხვა საოფისე დოკუმენტების ტიპებზეც.
კარგია იმის ცოდნა, რომ რედმონდის ოფიციალური პირები ყველაფერს აკეთებენ იმისათვის, რომ დაიცვან ჩვენი უსაფრთხოება, მაგრამ ეს არის საერთო ძალისხმევა, ამიტომ ჩვენც უნდა შევასრულოთ ჩვენი ნაწილები.
რას ფიქრობთ ამ თვის Patch სამშაბათის განახლებებზე? გაგვიზიარეთ თქვენი აზრი ქვემოთ მოცემულ კომენტარებში.
