Как вторник исправлений Microsoft повлиял на устойчивость бизнес-систем?

В октябрьский вторник исправлений Microsoft выпустила обновления с устранениями 104 уязвимостей, среди которых 3 активно эксплуатируемых нулевых дней (0Day-уязвимость). Среди всех устраненных ошибок 45 относились к категории удаленного выполнения кода (Remote Code Execution, RCE), однако только 12 из них были отмечены как «критические», все они также относятся к RCE.

Распределение исправленных недостатков по категориям представлено ниже:

• Повышение привилегий: 26
• Обход систем безопасности: 3
• Удаленное выполнение кода: 45
• Раскрытие информации: 12
• Отказ в обслуживании (Denial of Service, DoS): 17
• Спуфинг: 1

Следует отметить, что общее количество угроз не включает одну уязвимость в Chromium, отслеживаемую как CVE-2023-5346 (CVSS: 8.8), которую Google исправил 3 октября и которая была перенесена в Microsoft Edge.

В этом месяце были исправлены 3 активно эксплуатируемых уязвимости нулевого дня, две из которых были обнародованы (CVE-2023-41763 и CVE-2023-36563). Microsoft классифицирует уязвимость как нулевой день, если она обнародована или активно эксплуатируется без официального исправления.

CVE-2023-41763 (CVSS: 5.3) — уязвимость повышения привилегий в Skype для бизнеса.

Позволяет злоумышленнику просмотреть некоторую конфиденциальную информацию, хотя не все ресурсы в уязвимом компоненте могут быть раскрыты хакеру. При этом киберпреступник не может внести изменения в раскрываемую информацию (Integrity) или ограничить доступ к ресурсу (Availability).

Уязвимость позволяет атакующему проникнуть во внутренние сети, поскольку Skype обычно открыт для публичного интернета. Недостаток был обнародован.

CVE-2023-36563 (CVSS: 6.5) — уязвимость Microsoft WordPad, связанная с раскрытием информации, которая может быть использована для кражи хешей NTLM при открытии документа в WordPad.

Чтобы эксплуатировать эту угрозу, атакующему сначала нужно войти в систему. После входа киберпреступник может запустить специально созданное приложение, которое могло бы эксплуатировать уязвимость и захватить контроль над затронутой системой.

Кроме того, хакер может убедить локального пользователя открыть вредоносный файл – с помощью электронного письма или сообщения. Хэши NTLM можно взломать или использовать в атаках NTLM Relay для получения доступа к учетной записи.

CVE-2023-44487 — Атака HTTP/2 Rapid Reset.

Ошибка связана с новой техникой DDoS-атак под названием HTTP2 Rapid Reset, которая активно используется с августа, побив все предыдущие рекорды.

Атака злоупотребляет функцией отмены потока HTTP/2, чтобы постоянно отправлять и отменять запросы, перегружая целевой сервер/приложение и вызывая состояние отказа в обслуживании (DoS). Поскольку функция встроена в стандарт HTTP/2, для этой техники не существует «исправления», которое можно было бы реализовать, кроме ограничения скорости или блокировки протокола.

Microsoft предложила отключить протокол HTTP/2 на веб-сервере как меру по смягчению угрозы. Однако корпорация также предоставила специальную статью об атаке HTTP/2 Rapid Reset с дополнительной информацией.

Специалисты BleepingComputer указали полный список уязвимостей, которые были устранены во вторник обновлений Microsoft.