Исправлены, но всё ещё опасны: два Zero Click в Windows позволяют захватить устройство пользователя

Akamai RCE Windows HTML CVE-2023-35384 CVE-2023-36710 MapURLtoZone Integer Overflow
Исправлены, но всё ещё опасны: два Zero Click в Windows позволяют захватить устройство пользователя
Akamai RCE Windows HTML CVE-2023-35384 CVE-2023-36710 MapURLtoZone Integer Overflow

Akamai рассказала, какие системы могут быть скомпрометированы без вашего участия.

image

Бен Барнеа из компании Akamai раскрыл технические подробности о двух исправленных уязвимостях в Windows. Уязвимости могут быть использованы для удаленного выполнения кода (Remote Code Execution, RCE) в почтовом сервисе Outlook без какого-либо взаимодействия с пользователем. Отчёт Akamai составлен в двух частях [ 1 , 2 ].

  • CVE-2023-35384 (оценка CVSS: 6.5) – уязвимость обхода функции безопасности платформ Windows HTML Platforms. Обнаружена в августе;
  • CVE-2023-36710 (оценка CVSS: 7.8) – уязвимость Windows Media Foundation Core, связанная с удаленным выполнением кода. Обнаружена в октябре.

CVE-2023-35384 связана с функцией MapUrlToZone, которая может быть использована для отправки электронного письма с вредоносным файлом или URL-адресом клиенту Outlook.

CVE-2023-35384 была описана как обход критической уязвимости повышения привилегий, которую Microsoft исправила в марте 2023 года - CVE-2023-23397 (оценка CVSS: 9.8) позволяет злоумышленнику похищать хэши Net-NTLMv2 и получать доступ к аккаунтам пользователей. Кроме того, CVE-2023-23397 была использована группировкой APT28 для несанкционированного доступа к учетным записям на серверах Exchange.

Уязвимость CVE-2023-36710 затрагивает компонент Audio Compression Manager (ACM), устаревшую мультимедийную систему Windows. Она вызвана целочисленным переполнением (Integer Overflow) при воспроизведении WAV-файла. Akamai смогли вызвать уязвимость, используя кодек IMA ADP.

«Размер файла составляет примерно 1,8 ГБ. Выполнив математическую операцию ограничения при расчете, мы можем заключить, что наименьший возможный размер файла с кодеком IMA ADP составляет 1 ГБ», - отметил Барнеа.

Для снижения рисков рекомендуется использовать микросегментацию для блокирования исходящих SMB-соединений на удаленные общедоступные IP-адреса, а также отключить NTLM или добавить пользователей в группу защищенных пользователей, что предотвращает использование NTLM в качестве механизма аутентификации.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.

Новости по теме

Кофейная ловушка: уязвимость домена Nespresso привела к всплеску фишинговых атак

ИИ на поле боя: Microsoft и OpenAI вооружают Пентагон

CVE-2024-21894: продукты Ivanti вновь тонут в RCE- и DoS-атаках

Киберудар по Латинской Америке: TA558 распространяет Venom RAT

LockBit или DragonForce? Кибератака на Палау привела IT-специалистов в замешательство

Повторение XZ Utils? Хакеры атаковали OpenJS Foundation

Fedora Linux 40: что нового?

Без посылок и денег: фишинговые сайты Почты становятся лидерами по трафику

Путеводная звезда в мире SFF: NVIDIA представляет гайд для фанатов малых игровых ПК