- Evenimentul Patch Tuesday din această lună aduce utilizatorilor de pretutindeni un total de 67 de remedieri.
- Aproape jumătate din patch-uri au fost eliberate rezolvați problemele legate de privilegiile utilizatorului pe un computer.
- EExecutarea unui cod arbitrar pe computerul victimei este, de asemenea, o problemă rezolvată acum.
- Componenta MSHTML a Microsoft Office este, de asemenea, exploatată activ.
Clutch-ul regulat de actualizări al companiei Redmond capătă cea mai mare importanță în această lună, deoarece compania lansează o soluție pentru o eroare de severitate critică.
Acest lucru este menționat în prezent de referința sa de desemnare a vulnerabilității, CVE-2021-40444.
Știm, de asemenea, că acesta este în prezent exploatat, în documente Office, precum și patch-uri semnificative pentru produsele Microsoft și serviciile cloud.
Microsoft remediază încălcările de securitate prin Patch Tuesday
În cadrul evenimentului Patch Tuesday din această lună, Microsoft a lansat un total de 67 de remedieri pentru multe dintre produsele sale.
Cel mai mare număr de remedieri, care este 27, a fost pentru a repara problemele pe care un atacator le-ar putea folosi pentru a-și ridica propriul nivel de privilegiu pe un computer.
Dacă vă întrebați despre al doilea cel mai mare număr, care în acest caz este 14, abordați capacitatea unui atacator de a executa cod arbitrar pe computerul victimei.
Este important să știm că toate vulnerabilitățile critice, cu excepția uneia, se încadrează în categoria Executare cod la distanță.
Aceasta include eroarea -40444, care a fost poreclită Vulnerabilitate la executarea codului la distanță Microsoft MSHTML.
Vulnerabilitatea critică non-RCE este o eroare de divulgare a informațiilor care afectează Azure Sphere (CVE-2021-36956), o platformă creată de Microsoft, menită să adauge un strat de securitate dispozitivelor Internet-of-Things (IoT).
Unele dintre erorile urâte care afectau browserul Edge atât pe platformele Android, cât și pe cele iOS au fost, de asemenea, remediate de gigantul tehnologic.
Utilizatorii browserului respectiv de pe aceste dispozitive vor trebui, în mod necesar, să obțină versiunile lor fixe de la magazin de aplicații relevant pentru dispozitivul lor, ambele fiind supuse unei vulnerabilități pe care Microsoft o descrie falsificare.
Vulnerabilitățile critice care afectează Windows însuși (CVE-2021-36965 și CVE-2021-26435) se aplică unei componente numite Serviciul WLAN AutoConfig.
Dacă nu știați, aceasta face parte din mecanismul pe care Windows 10 îl folosește pentru a alege rețeaua wireless la care se va conecta un computer și, respectiv, la Windows Scripting Engine.
Microsoft nu a furnizat informații suplimentare înainte de data limită de lansare Patch Tuesday despre mecanismul prin care aceste bug-uri execută codul pe un sistem.
Dezvoltatorii de la Redmond abordează această problemă uriașă Office în această lună
După ce această eroare a fost descoperită și a devenit publică pe 7 septembrie, cercetătorii și analiștii în domeniul securității au început să schimbe exemple de dovezi ale conceptului despre modul în care un atacator ar putea folosi exploatarea.
Din păcate, profilul ridicat al acestei erori înseamnă că atacatorii vor fi observați și vor începe să exploateze vulnerabilitatea.
Această eroare neplăcută implică componenta MSHTML a Microsoft Office, care poate reda pagini de browser în contextul unui document Office.
În exploatarea bug-ului, un atacator creează un control ActiveX realizat cu rea intenție și apoi încorporează cod într-un document Office care apelează controlul ActiveX când documentul este deschis sau previzualizate.
Etapele atacului sunt, în termeni generali:
- Ținta primește un document .docx sau .rtf Office și îl deschide
- Documentul extrage codul HTML de la o adresă web rău intenționată
- Site-ul web rău intenționat oferă o arhivă .CAB pe computerul țintei
- Exploit-ul lansează un executabil din interiorul .CAB (denumit de obicei cu o extensie .INF)
Scriptarea rău intenționată folosește handler-ul încorporat pentru .cpl (Windows Control Panel) pentru a rula fișierul cu o extensie .inf (care este de fapt un .dll rău intenționat) extras din fișierul .cab.
O mulțime de oameni nu numai că au elaborat exploatări funcționale de dovadă a conceptului (PoC), dar câțiva au creat și publicat instrumente de generare pe care oricine le poate folosi pentru a arma un document Office.
Versiunea originală a exploitului a folosit Microsoft Word.docx documente, dar am văzut deja câteva versiuni care se folosesc.rtf extensii de fișiere.
Atacatorii folosesc tehnicile nu numai pentru a lansa fișiere .exe, ci și fișiere rău intenționate .dll, folosind rundll32. Nu există niciun motiv să credem că exploatarea nu își va extinde gama și la alte tipuri de documente Office.
Este bine să știm că oficialii de la Redmond fac tot posibilul pentru a ne menține în siguranță, dar este vorba despre un efort comun, așa că trebuie să ne facem și noi părțile.
Ce părere aveți despre actualizările Patch Tuesday din această lună? Împărtășiți-vă părerea cu noi în secțiunea de comentarii de mai jos.
