12 Декабря, 2018

Exploit Wednesday декабрь 2018: на тесты новых патчей времени в обрез – погнали…

SolarSecurity
Вчера, во вторник приблизительно в 22.00 по Москве Microsoft выкатил патчи от новых уязвимостей, тем самым дав старт ежемесячной гонке между администраторами по безопасности и злоумышленниками. Пока первые проверяют, не уронит ли установка обновлений критичные бизнес-сервера в синий экран, вторые дизассемблируют код обновленных библиотек и пытаются создать рабочие эксплойты для пока еще уязвимых систем.
Для любителей подробностей – короткая справка по новым уязвимостям под катом.



Уязвимости класса remote code execution (RCE — удаленное выполнение кода) всегда заслуживают повышенного внимания, поэтому с них и начнем.

В службе DNS Windows обнаружена уязвимость CVE-2018-8626 , позволяющая атакующему выполнить произвольный код на сервере, для этого ему требуется послать специальным образом сформированный DNS-запрос. Если ваша служба доменных имен построена на технологиях Microsoft, то однозначно стоит повысить приоритет установки этого обновления.

Outlook – очень популярный клиент, а фишинг с использованием вредоносных вложений в почте – классика современных атак. Поэтому потенциальные RCE в Outlook являются лакомым куском для распространителей вредоносного ПО. В связи с этим стоит озаботиться закрытием вектора атаки с использованием CVE-2018-8587 , а также не забыть о закрытии веера уязвимостей во всем офисном пакете: в Edge, Internet Explorer, Excel и PowerPoint устранено 8 уязвимостей, позволяющих установить вредоносный модуль в систему.

Продукты компании Adobe также часто становятся входными точками в сети предприятий. Например, в прошлом месяце медицинское учреждение крупной российской госструктуры было атаковано с использованием уязвимости нулевого дня во Flashplayer, а код от уязвимости CVE-2018-15982 уже два дня доступен на Github (ссылку не будем приводить по понятным причинам). Вчера Adobe выпустил патчи для Acrobat Reader – если в вашей компании он, как и во многих, является стандартным приложениям для просмотра PDF, то повышайте приоритет и этого обновления.

Напоминаем, что обновления безопасности обязательно нужно тестировать перед использованием в боевой среде. Но не затягивайте с тестами, так как пока вы заняты ими, товарищи с другой стороны баррикад активно пытаются написать новые эксплойты, пока системы не пропатчены.

Со списком известных проблем с патчами от MS можно ознакомиться здесь .