Microsoft устранила в общей сложности 61 новую ошибку безопасности в своем программном обеспечении в рамках своих обновлений Patch Tuesday за май 2024 года, включая две ошибки нулевого дня, которые активно использовались в дикой природе.
Из 61 ошибки одна оценена как критическая, 59 - как Важные и одна - как средней степени тяжести. Это в дополнение к 30 уязвимостям, устраненным в браузере Edge на базе Chromium за последний месяц, включая две недавно обнаруженные уязвимости нулевого дня (CVE-2024-4671 и CVE-2024-4761), которые были помечены как использованные при атаках.
Ниже приведены два недостатка безопасности , которые стали массовым оружием -
Однако для успешного использования злоумышленнику необходимо убедить пользователя загрузить в уязвимую систему специально созданный файл, распространяемый либо по электронной почте, либо с помощью мгновенного сообщения, и обманом заставить его манипулировать им. Интересно, что жертве не нужно нажимать или открывать вредоносный файл, чтобы активировать заражение.
С другой стороны, CVE-2024-30051 может позволить субъекту угрозы получить СИСТЕМНЫЕ привилегии. Трем группам исследователей из Kaspersky, веб-лаборатории DBAPPSecurity, группы анализа угроз Google и Mandiant приписывают обнаружение ошибки и сообщение о ней, что указывает на вероятное широкое использование.
"Мы видели, как она использовалась вместе с QakBot и другими вредоносными программами, и считаем, что к ней имеют доступ несколько участников угрозы", - сказали исследователи Касперского Борис Ларин и Мерт Дегирменси.
Обе уязвимости были добавлены Агентством кибербезопасности и безопасности инфраструктуры США (CISA) в свой каталог известных эксплуатируемых уязвимостей (KEV), что требует от федеральных агентств применить последние исправления к 4 июня 2024 года.
Microsoft также устранила несколько ошибок удаленного выполнения кода, в том числе девять, влияющих на драйвер широкополосной связи Windows Mobile, и семь, влияющих на службу маршрутизации и удаленного доступа Windows (RRAS).
Другие заметные недостатки включают ошибки повышения привилегий в драйвере Common Log File System (CLFS) – CVE-2024-29996, CVE-2024-30025 (оценки CVSS: 7,8) и CVE-2024-30037 (оценка CVSS: 7,5) – Win32k (CVE-2024-30028 и CVE-2024-30030, оценки CVSS: 7,8), служба поиска Windows (CVE-2024 -30033, оценка CVSS: 7,0) и ядро Windows (CVE-2024-30018, оценка CVSS: 7,8).
В марте 2024 года Касперский обнаружил, что субъекты угроз пытаются активно использовать исправленные недостатки в повышении привилегий в различных компонентах Windows, поскольку "это очень простой способ быстро получить доступ к NT AUTHORITY \ SYSTEM".
Компания Akamai далее описала новый метод повышения привилегий, влияющий на среды Active Directory (AD), который использует преимущества группы администраторов DHCP.
"В случаях, когда роль DHCP-сервера установлена на контроллере домена (DC), это может позволить им получить права администратора домена", - отметили в компании. "В дополнение к предоставлению примитива повышения привилегий, тот же метод также может быть использован для создания скрытого механизма сохранения домена.
Завершает список уязвимость обхода функции безопасности (CVE-2024-30050, оценка CVSS: 5.4), влияющая на Windows Mark-of-the-Web (MotW), которая может быть использована с помощью вредоносного файла для обхода средств защиты.
Из 61 ошибки одна оценена как критическая, 59 - как Важные и одна - как средней степени тяжести. Это в дополнение к 30 уязвимостям, устраненным в браузере Edge на базе Chromium за последний месяц, включая две недавно обнаруженные уязвимости нулевого дня (CVE-2024-4671 и CVE-2024-4761), которые были помечены как использованные при атаках.
Ниже приведены два недостатка безопасности , которые стали массовым оружием -
- CVE-2024-30040 (оценка CVSS: 8,8) - Уязвимость обхода функции безопасности платформы Windows MSHTML
- CVE-2024-30051 (оценка CVSS: 7,8) - Уязвимость повышения привилегий основной библиотеки Windows Desktop Window Manager (DWM)
Однако для успешного использования злоумышленнику необходимо убедить пользователя загрузить в уязвимую систему специально созданный файл, распространяемый либо по электронной почте, либо с помощью мгновенного сообщения, и обманом заставить его манипулировать им. Интересно, что жертве не нужно нажимать или открывать вредоносный файл, чтобы активировать заражение.
С другой стороны, CVE-2024-30051 может позволить субъекту угрозы получить СИСТЕМНЫЕ привилегии. Трем группам исследователей из Kaspersky, веб-лаборатории DBAPPSecurity, группы анализа угроз Google и Mandiant приписывают обнаружение ошибки и сообщение о ней, что указывает на вероятное широкое использование.
"Мы видели, как она использовалась вместе с QakBot и другими вредоносными программами, и считаем, что к ней имеют доступ несколько участников угрозы", - сказали исследователи Касперского Борис Ларин и Мерт Дегирменси.
Обе уязвимости были добавлены Агентством кибербезопасности и безопасности инфраструктуры США (CISA) в свой каталог известных эксплуатируемых уязвимостей (KEV), что требует от федеральных агентств применить последние исправления к 4 июня 2024 года.
Microsoft также устранила несколько ошибок удаленного выполнения кода, в том числе девять, влияющих на драйвер широкополосной связи Windows Mobile, и семь, влияющих на службу маршрутизации и удаленного доступа Windows (RRAS).
Другие заметные недостатки включают ошибки повышения привилегий в драйвере Common Log File System (CLFS) – CVE-2024-29996, CVE-2024-30025 (оценки CVSS: 7,8) и CVE-2024-30037 (оценка CVSS: 7,5) – Win32k (CVE-2024-30028 и CVE-2024-30030, оценки CVSS: 7,8), служба поиска Windows (CVE-2024 -30033, оценка CVSS: 7,0) и ядро Windows (CVE-2024-30018, оценка CVSS: 7,8).
В марте 2024 года Касперский обнаружил, что субъекты угроз пытаются активно использовать исправленные недостатки в повышении привилегий в различных компонентах Windows, поскольку "это очень простой способ быстро получить доступ к NT AUTHORITY \ SYSTEM".
Компания Akamai далее описала новый метод повышения привилегий, влияющий на среды Active Directory (AD), который использует преимущества группы администраторов DHCP.
"В случаях, когда роль DHCP-сервера установлена на контроллере домена (DC), это может позволить им получить права администратора домена", - отметили в компании. "В дополнение к предоставлению примитива повышения привилегий, тот же метод также может быть использован для создания скрытого механизма сохранения домена.
Завершает список уязвимость обхода функции безопасности (CVE-2024-30050, оценка CVSS: 5.4), влияющая на Windows Mark-of-the-Web (MotW), которая может быть использована с помощью вредоносного файла для обхода средств защиты.
Исправления программного обеспечения от других поставщиков
Помимо Microsoft, за последние несколько недель другими поставщиками были выпущены обновления для системы безопасности, устраняющие несколько уязвимостей, в том числе —- Adobe
- Android
- Apple
- Arm
- ASUS
- Atos
- Broadcom (включая VMware)
- Cacti
- Cisco
- Citrix
- CODESYS
- Dell
- Drupal
- F5
- Fortinet
- GitLab
- Google Chrome
- Google Cloud
- Google Wear OS
- Hikvision
- Hitachi Energy
- HP
- HP Enterprise
- HP Enterprise Aruba Networks
- IBM
- Intel
- Дженкинс
- Juniper Networks
- Lenovo
- Дистрибутивы Linux Debian, Oracle Linux, Red Hat, SUSE и Ubuntu
- MediaTek
- Mitsubishi Electric
- MongoDB
- Mozilla Thunderbird
- NVIDIA
- ownCloud
- Palo Alto Networks
- Программное обеспечение для прогресса
- QNAP
- Qualcomm
- Rockwell Automation
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- SonicWall
- Tinyproxy
- Veeam
- Veritas
- Zimbra
- Zoom, and
- Zyxel
