- Цього місяця подія “Патч -вівторок” приносить користувачам скрізь 67 виправлень.
- Майже половина патчів випущена вирішувати проблеми з привілеями користувачів на комп’ютері.
- EВирішення довільного коду на комп’ютері жертви - це також проблема, яку тепер вирішено.
- Компонент MSHTML Microsoft Office також активно експлуатується.
Регулярний пакет оновлень компанії Redmond набуває найбільшого значення цього місяця, оскільки компанія випускає виправлення помилки критичної серйозності.
В даний час це згадується за допомогою посилання на позначення вразливості CVE-2021-40444.
Ми також знаємо, що він зараз використовується у документах Office, а також у значних патчах для продуктів Microsoft та хмарних служб.
Microsoft виправляє порушення безпеки за допомогою патча у вівторок
Під час події цього місяця Patch Tuesday Microsoft випустила загалом 67 виправлень для багатьох своїх продуктів.
Найбільша кількість виправлень, тобто 27, полягала у виправленні проблем, які зловмисник міг би використати для підвищення власного рівня привілеїв на комп’ютері.
Якщо вам цікаво про друге за величиною число, яке в даному випадку дорівнює 14, зверніться до здатності зловмисника виконувати довільний код на комп’ютері жертви.
Важливо знати, що всі критичні вразливості, крім однієї, належать до категорії віддаленого виконання коду.
Це включає помилку -40444, яку прозвали Уразливість від віддаленого виконання коду Microsoft MSHTML.
Критична вразливість, не пов'язана з RCE,-це помилка розкриття інформації, яка впливає Лазурна сфера (CVE-2021-36956), платформа, створена Microsoft, призначена для додавання рівня безпеки до пристроїв Інтернету речей (IoT).
Деякі з неприємних помилок, що впливають на браузер Edge як на платформах Android, так і iOS, також були виправлені технічним гігантом.
Користувачі цього веб -переглядача на цих пристроях обов’язково повинні отримати свої фіксовані версії з відповідний магазин додатків для свого пристрою, обидва з яких піддаються вразливості, яку Microsoft описує як підробка.
Критичні уразливості, що впливають на саму Windows (CVE-2021-36965 та CVE-2021-26435), стосуються компонента під назвою WLAN AutoConfig Service.
Якщо ви не знали, це частина механізму, який Windows 10 використовує для вибору бездротової мережі, до якої буде підключатися комп’ютер, і відповідно до Windows Scripting Engine.
Корпорація Майкрософт не надала додаткової інформації до закінчення терміну випуску у вівторок, щодо механізму, за допомогою якого ці помилки виконують код у системі.
Розробники Redmond усувають величезну помилку Office цього місяця
Після того, як ця помилка була виявлена і стала відома громадськості 7 вересня, дослідники та аналітики безпеки почали обмінюватися прикладами доказів того, як зловмисник може використати цей експлойт.
На жаль, популярність цієї помилки означає, що зловмисники помітили це і, ймовірно, почнуть використовувати вразливість.
Ця неприємна помилка стосується компонента MSHTML Microsoft Office, який може відтворювати сторінки браузера в контексті документа Office.
Під час використання вади зловмисник створює зловмисно створений елемент керування ActiveX, а потім вставляє код у документ Office, який викликає елемент керування ActiveX, коли документ відкривається або попередній перегляд.
Загалом етапи нападу такі:
- Target отримує документ Office .docx або .rtf і відкриває його
- Документ витягує віддалений HTML -код із шкідливої веб -адреси
- Шкідливий веб -сайт доставляє .CAB -архів на комп’ютер цілі
- Експлойт запускає виконуваний файл всередині .CAB (зазвичай називається розширенням .INF)
Шкідливий сценарій використовує вбудований обробник для .cpl файли (Панель керування Windows) для запуску файлу з розширенням .inf (що насправді є шкідливим .dll), вилученим з файлу .cab.
Багато людей не тільки розробили функціональні можливості експлуатації доказів концепції (PoC), але деякі створили та опублікували інструменти конструктора, які кожен може використовувати для озброєння документа Office.
В оригінальній версії експлойту використовувався Microsoft Word.docx документів, але ми вже помітили деякі версії, які використовують.rtf розширення файлів.
Зловмисники використовують ці методи не тільки для запуску файлів .exe, але й шкідливих файлів .dll за допомогою rundll32. Немає підстав вважати, що експлойт не розширить їх діапазон і на інші типи документів Office.
Приємно знати, що чиновники Редмонда роблять все можливе, щоб зберегти нас у безпеці, але це все спільні зусилля, тому ми також повинні зробити все, що від нас залежить.
Що ви думаєте про оновлення цього місяця у вівторок? Поділіться своєю думкою з нами у розділі коментарів нижче.
