Корпорация Майкрософт выпустила исправления для устранения 63 ошибок безопасности в своем программном обеспечении за ноябрь 2023 года, включая три уязвимости, которые активно эксплуатировались в дикой природе.
Из 63 уязвимостей три имеют рейтинг критических, 56 - Важных и четыре - средней степени тяжести. Две из них были перечислены как общедоступные на момент выпуска.
Эти обновления дополняют более 35 недостатков безопасности, устраненных в браузере Edge на базе Chromium с момента выпуска обновлений Patch Tuesday за октябрь 2023 года.
Следует отметить следующие пять нулевых дней -
"Пользователю придется нажать на специально созданный интернет-ярлык (.URL) или гиперссылку, указывающую на файл интернет-ярлыка, который будет скомпрометирован злоумышленником", - говорится в сообщении Microsoft о CVE-2023-36025.
CVE-2023-36025 является третьей уязвимостью нулевого дня Windows SmartScreen, эксплуатируемой в дикой природе в 2023 году, и четвертой за последние два года. В декабре 2022 года Microsoft исправила CVE-2022-44698 (оценка CVSS: 5.4), в то время как CVE-2023-24880 (оценка CVSS: 5.1) были исправлены в марте, а CVE-2023-32049 (оценка CVSS: 8.8) были исправлены в июле.
Однако производитель Windows не предоставил никаких дополнительных указаний относительно используемых механизмов атаки и субъектов угрозы, которые могут использовать их в качестве оружия. Но активное использование недостатков повышения привилегий предполагает, что они, вероятно, используются в сочетании с ошибкой удаленного выполнения кода.
"За последние два года в библиотеке DWM Core было обнаружено 12 уязвимостей с повышением привилегий, хотя это первая, которая была использована в естественных условиях в качестве уязвимости нулевого дня", - сказал Сатнам Наранг, старший инженер-исследователь Tenable, в заявлении, опубликованном The Hacker News.
Разработка побудила Агентство кибербезопасности и безопасности инфраструктуры США (CISA) добавить эти три проблемы в свой каталог известных эксплуатируемых уязвимостей (KEV), призвав федеральные агентства применить исправления к 5 декабря 2023 года.
Microsoft также исправила две критические ошибки удаленного выполнения кода в Protected Extensible Authentication Protocol и Pragmatic General Multicast (CVE-2023-36028 и CVE-2023-36397, оценки CVSS: 9,8), которые субъект угрозы может использовать для запуска выполнения вредоносного кода.
Ноябрьское обновление также включает исправление для CVE-2023-38545 (оценка CVSS: 9,8), критической ошибки переполнения буфера на основе кучи в библиотеке curl, которая была обнаружена в прошлом месяце, а также уязвимости раскрытия информации в Azure CLI (CVE-2023-36052, оценка CVSS: 8,6).
"Злоумышленник, успешно воспользовавшийся этой уязвимостью, может восстановить текстовые пароли и имена пользователей из файлов журналов, созданных затронутыми командами CLI и опубликованных Azure DevOps и / или GitHub Actions", - заявили в Microsoft.
Исследователь Palo Alto Networks Авиад Хахами, который сообщил о проблеме, сказал, что уязвимость может открыть доступ к учетным данным, хранящимся в журнале конвейера, и позволить злоумышленнику потенциально повысить свои привилегии для последующих атак.
В ответ Microsoft заявила, что внесла изменения в несколько команд Azure CLI, чтобы защитить Azure CLI (версия 2.54) от непреднамеренного использования, которое может привести к раскрытию секретов.
Из 63 уязвимостей три имеют рейтинг критических, 56 - Важных и четыре - средней степени тяжести. Две из них были перечислены как общедоступные на момент выпуска.
Эти обновления дополняют более 35 недостатков безопасности, устраненных в браузере Edge на базе Chromium с момента выпуска обновлений Patch Tuesday за октябрь 2023 года.
Следует отметить следующие пять нулевых дней -
- CVE-2023-36025 (оценка CVSS: 8,8) - Уязвимость обхода функции безопасности Windows SmartScreen
- CVE-2023-36033 (оценка CVSS: 7,8) - Уязвимость с повышением привилегий библиотеки ядра Windows DWM
- CVE-2023-36036 (оценка CVSS: 7,8) - Уязвимость для повышения привилегий драйвера мини-фильтра Windows Cloud Files
- CVE-2023-36038 (оценка CVSS: 8.2) - ASP.NET Основная уязвимость, связанная с отказом в обслуживании
- CVE-2023-36413 (оценка CVSS: 6,5) - Уязвимость обхода функции безопасности Microsoft Office
"Пользователю придется нажать на специально созданный интернет-ярлык (.URL) или гиперссылку, указывающую на файл интернет-ярлыка, который будет скомпрометирован злоумышленником", - говорится в сообщении Microsoft о CVE-2023-36025.
CVE-2023-36025 является третьей уязвимостью нулевого дня Windows SmartScreen, эксплуатируемой в дикой природе в 2023 году, и четвертой за последние два года. В декабре 2022 года Microsoft исправила CVE-2022-44698 (оценка CVSS: 5.4), в то время как CVE-2023-24880 (оценка CVSS: 5.1) были исправлены в марте, а CVE-2023-32049 (оценка CVSS: 8.8) были исправлены в июле.
Однако производитель Windows не предоставил никаких дополнительных указаний относительно используемых механизмов атаки и субъектов угрозы, которые могут использовать их в качестве оружия. Но активное использование недостатков повышения привилегий предполагает, что они, вероятно, используются в сочетании с ошибкой удаленного выполнения кода.
"За последние два года в библиотеке DWM Core было обнаружено 12 уязвимостей с повышением привилегий, хотя это первая, которая была использована в естественных условиях в качестве уязвимости нулевого дня", - сказал Сатнам Наранг, старший инженер-исследователь Tenable, в заявлении, опубликованном The Hacker News.
Разработка побудила Агентство кибербезопасности и безопасности инфраструктуры США (CISA) добавить эти три проблемы в свой каталог известных эксплуатируемых уязвимостей (KEV), призвав федеральные агентства применить исправления к 5 декабря 2023 года.
Microsoft также исправила две критические ошибки удаленного выполнения кода в Protected Extensible Authentication Protocol и Pragmatic General Multicast (CVE-2023-36028 и CVE-2023-36397, оценки CVSS: 9,8), которые субъект угрозы может использовать для запуска выполнения вредоносного кода.
Ноябрьское обновление также включает исправление для CVE-2023-38545 (оценка CVSS: 9,8), критической ошибки переполнения буфера на основе кучи в библиотеке curl, которая была обнаружена в прошлом месяце, а также уязвимости раскрытия информации в Azure CLI (CVE-2023-36052, оценка CVSS: 8,6).
"Злоумышленник, успешно воспользовавшийся этой уязвимостью, может восстановить текстовые пароли и имена пользователей из файлов журналов, созданных затронутыми командами CLI и опубликованных Azure DevOps и / или GitHub Actions", - заявили в Microsoft.
Исследователь Palo Alto Networks Авиад Хахами, который сообщил о проблеме, сказал, что уязвимость может открыть доступ к учетным данным, хранящимся в журнале конвейера, и позволить злоумышленнику потенциально повысить свои привилегии для последующих атак.
В ответ Microsoft заявила, что внесла изменения в несколько команд Azure CLI, чтобы защитить Azure CLI (версия 2.54) от непреднамеренного использования, которое может привести к раскрытию секретов.
Исправления программного обеспечения от других поставщиков
Помимо корпорации Майкрософт, за последние несколько недель другими поставщиками были выпущены обновления для системы безопасности, устраняющие несколько уязвимостей, в том числе —- Adobe
- AMD (включая CacheWarp)
- Android
- Проекты Apache
- Apple
- Aruba Networks
- Arm
- ASUS
- Atlassian
- Cisco
- CODESYS
- Dell
- Drupal
- F5
- Fortinet
- GitLab
- Google Chrome
- Hitachi Energy
- HP
- IBM
- Intel (включая Reptar)
- Дженкинс
- Juniper Networks
- Lenovo
- Дистрибутивы Linux Debian, Oracle Linux, Red Hat, SUSE и Ubuntu
- MediaTek
- Mitsubishi Electric
- NETGEAR
- NVIDIA
- Сети Пало-Альто
- Qualcomm
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- SonicWall
- SysAid
- Trend Micro
- Veeam
- Veritas
- VMware
- WordPress
- Zimbra
- Zoom и
- Zyxel