Security Week 2203: wormable-уязвимость в Windows

Security Week 2203: wormable-уязвимость в Windows
168f165115ed4ad2ba6fbcef38ef72a6.jpeg

На прошлой неделе, 11 января, компания Microsoft выпустила очередной ежемесячный набор патчей для собственных продуктов. Всего было закрыто 97 уязвимостей. Девять уязвимостей классифицированы как критические, а из них наибольший интерес представляет проблема CVE-2022-21907 в модуле HTTP.sys, реализации протокола HTTP в ОС Windows.

Уязвимость получила рейтинг опасности в 9,8 балла по шкале CVSS и может приводить к выполнению произвольного кода. Ошибка — вполне ожидаемая для стека HTTP: некорректная обработка входящих пакетов данных. А вот список уязвимых версий ОС оказался относительно сложным. Проблема появилась в Windows 10 версии 1809 и Windows Server 2019, но в них эксплуатация уязвимости с настройками по умолчанию невозможна — чтобы воспользоваться ею, нужно специально изменить один из параметров работы с протоколом. В версии Windows 10 1909 уязвимый код в принципе отсутствует, а вот в более поздних релизах, включая Windows 10 20H2, Windows 11 и Windows Server 2022, он есть. Что самое неприятное — Microsoft классифицирует уязвимость как Wormable, то есть уже взломанные системы можно использовать для дальнейшего развития атаки.

В наполовину уязвимых ранних сборках Windows 10 и Windows Server компания Microsoft рекомендует проверить наличие ключа EnableTrailerSupport в реестре по этому пути:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters 

И удалить его, если он есть: включение данного параметра активирует и уязвимость. Ошибка в первую очередь затрагивает серверы под управлением Windows, но библиотека для работы по протоколу HTTP может быть задействована и на конечных устройствах. Похожая проблема в HTTP.sys уже была закрыта ранее. В мае 2021 года Microsoft выпустила патч для уязвимости CVE-2021-31166 в Windows 10 сборок 2004 и 20H2, а также в Windows Server.

Помимо уязвимости в библиотеке HTTP набор патчей закрывает еще восемь критических уязвимостей, включая серьезные проблемы в Microsoft Office ( CVE-2022-21840 ) и Microsoft Exchange ( CVE-2022-21846 ). Через два дня после релиза кумулятивного патча часть апдейтов для Windows Server была отозвана из-за многочисленных сбоев после установки.

Что еще произошло

Специалисты компании Orca Security утверждают , что нашли серьезнейшую проблему в облачной инфраструктуре сервиса Amazon Web Services. Используя уязвимость в сервисе Cloudformation, они смогли получить «админский» доступ ко всей инфраструктуре AWS. Уязвимость была закрыта в течение суток, а распространение апдейта по всем регионам присутствия AWS заняло шесть дней.

Эксперты «Лаборатории Касперского» анализируют вредоносный код, распространяемый APT-группой BlueNoroff. Одна из задач группировки — кража криптовалюты. В частности, при обнаружении популярного расширения Metamask для браузера вредоносный код подменяет легитимный софт на модифицированную копию, которая на лету изменяет детали транзакции в криптовалюте.

Опубликовано подробное описание RCE-уязвимости в Android-версии приложения Adobe Reader. Исследователь, обнаруживший проблему, ранее получил 10 тысяч долларов по программе bug bounty Google Play Security .

Эксперты издания Vice пишут про удаленный взлом автомобилей Tesla. Проблема была обнаружена не в инфраструктуре автопроизводителя и не в самих авто, а в стороннем приложении, которое может использоваться для удаленного управления.
CVE-2022-21907 HTTP.sys patch tuesday
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!