Обновления защищают пользователей от перехвата контроля над системой.
14 ноября корпорация Microsoft выпустила очередное масштабное обновление безопасности в рамках программы «Patch Tuesday», направленных на исправление 58 уязвимостей в операционных системах Windows и связанном с ними программном обеспечении. Среди вороха исправлений присутствуют и три zero-day уязвимости, которые, по данным Microsoft, уже активно эксплуатируются злоумышленниками.
Первая из уязвимостей нулевого дня, CVE-2023-36025 , позволяет обходить защиту SmartScreen, предназначенную для блокировки вредоносных сайтов и файлов. Эксплуатация этой уязвимости возможна при переходе пользователя по поддельной ссылке. Кевин Брин, старший директор по исследованиям угроз в Immersive Labs, подчёркивает важность отслеживания электронной почты с URL-вложениями, а также процессов, запущенных из этих файлов, учитывая активное использование этой уязвимости.
Вторая уязвимость нулевого дня, CVE-2023-36033 , затрагивает DWM Core Library в Windows. Она эксплуатировалась злоумышленниками ещё до выпуска патчей и влияет на Windows 10 и более поздние версии, а также на Windows Server 2019 и последующие. Эксплуатация этой уязвимости, по словам Майка Уолтерса из Action1, может привести к получению привилегий SYSTEM, что делает её эффективным методом для повышения привилегий после первоначального доступа, например, через фишинг.
Третья уязвимость нулевого дня, CVE-2023-36036 , связана с Windows Cloud Files Mini Filter Driver и затрагивает Windows 10 и более поздние версии, а также Windows Server 2008 и последующие. Microsoft отмечает, что эксплуатация этой уязвимости для повышения привилегий на скомпрометированном ПК относительно проста.
Кевин Брин также рекомендует не откладывать установку обновлений для Exchange, включающих исправление уязвимости CVE-2023-36439 , которая позволяет устанавливать вредоносное ПО на сервере Exchange. Уязвимость требует аутентификации атакующего в локальной сети цели, но, как отмечает Брин, для этого достаточно связки украденных учётных данных Exchange.
CVE-2023-36439 связана с тремя другими багами в Exchange, которые Microsoft обозначила как уязвимости с высокой вероятностью эксплуатации: CVE-2023-36050 , CVE-2023-36039 и CVE-2023-36035 .
SANS ISC также указал на две дополнительные уязвимости, исправленные Microsoft в этом месяце, которые пока что активно не эксплуатировались, однако уже были обнародованы ранее: CVE-2023-36038 — уязвимость отказа в обслуживании в ASP.NET Core; и CVE-2023-36413 — обход защиты безопасности Microsoft Office.
Ладно, не доказали. Но мы работаем над этим