Гігант програмного забезпечення також звернув увагу на 15 критичних недоліків і повідомив про нещодавно розкриту помилку ядра Linux “SACK Panic”.
Компанія Microsoft виправила 77 уразливостей у своєму оновленні у липні. Також Adobe випустила невелику групу оновлень, але серед них нема оновлень для Acrobat Reader або Flash. Про це йдеться у великій статті на ThreatPost.
Головні виправлення
Одинадцять критичних помилок стосуються скриптових двигунів і сценаріїв для браузерів, а чотири інших впливають на сервер DHCP, GDI +, .NET Framework і Azure DevOps Server / Team Foundation Server.
“Патчі для скриптових двигунів, браузерних сценаріїв, GDI +, і. NET Framework повинні бути пріоритетами для пристроїв типу робочих станцій, тобто будь-яких систем, які використовуються для електронної пошти або для доступу до Інтернету через браузер”, відповідно до коментарів від Qualys щодо патчів, опублікованих у вівторок. “Це включає багатокористувацькі сервери, які використовуються як віддалені робочі місця для користувачів”.
Microsoft ChakraCore Scripting Engine, Internet Explorer 11 і Microsoft Edge мають уразливість пам’яті в механізмі сценаріїв (CVE-2019-1001), що може призвести до RCE.
“Уразливість існує в тому, як пам’ять обробляє об’єкти, і успішна експлуатація вразливості може дозволити зловмисникові виконати довільний код”, – говорить Аллан Ліска, аналітик розвідки у Recorded Future. “На даний момент майже очікується, що буде виявлено щомісячну вразливість в браузерах Microsoft для скриптових сценаріїв, оскільки вона все ще є головною мішенню для зловмисників, які швидко застосовують ці уразливості”.
На стороні сервера помилка DHCP-сервера (CVE-2019-0785) – це помилка віддаленого виконання коду (RCE), яка існує, коли сервер налаштований на відмовостійкість; зловмисник з мережевим доступом до відновлювального сервера DHCP може виконувати довільний код. Вона впливає на всі версії Windows Server від 2012 до 2019 року. Дуже подібна уразливість, CVE-2019-0725, була виправлена в травні.
“Одна з найбільш критичних вразливостей цього місяця присутня у Microsoft DHCP Server”, – сказав Ліска. “Ця вразливість пам’яті … дозволяє зловмисникам надсилати спеціально створений пакет на сервер DHCP і, якщо він успішно експлуатується, виконувати довільний код.”
І, нарешті, Azure DevOps Server / Team Foundation Server Azure DevOps Server і Team Foundations Server (TFS) мають уразливість RCE (CVE-2019-1072), яку можна використовувати шляхом завантаження шкідливих файлів.
“Кожен, хто може завантажити файл, може запускати код у контексті облікового запису Azure DevOps / TFS”, – стверджує Qualys. Це включає в себе анонімних користувачів, якщо сервер налаштований на таку роботу. Це виправлення має бути пріоритетним для будь-яких версій Azure DevOps або TFS.
Ліска тим часом відмітив, що успішне використання цієї уразливості вимагає від цільового проекту дозволити надсилання анонімних файлів.
“Якщо зловмисник надіслав спеціально створений файл до цільового проекту як анонімний користувач, він міг би виконувати довільний код на цільовому сервері”, – сказав він. “У минулому система Azure не була великою мішенню для зловживань, але це вразливість, яку слід швидко виправити через легкість, з якою ця уразливість може бути використана в великих масштабах”.
Активно використовуються помилки збільшення привілеїв користувача
Крім того, програмний гігант випустив патчі важливого рівня для двох вразливостей ескалації привілеїв в Win32k і splwow64, які активно використовуються в реальному житті, в не гіпотетично. Qualys вказала у звіті, що патчі, хоча і позначені як важливі, повинні бути пріоритетними, оскільки вони можуть бути прив’язані до інших вразливостей, щоб забезпечити зловмиснику повний доступ до системи. Іншими словами, як тільки вони підвищують свій рівень привілеїв, зловмисники можуть використовувати іншу вразливість, щоб дозволити їм виконувати код. Помилка Win32 (CVE-2019-1132) актуальна на Windows 7, Server 2008 і Server 2008 R2.
“Хоча зловмисник мав би отримати доступ до системи, щоб виконати експлойт, вразливість, якщо вона буде використана, дозволить зловмиснику взяти повний контроль над системою”, – сказав Кріс Гьоттл , директор з управління продуктами безпеки компанії Ivanti.
Між тим, помилка у splwow64 (CVE-2019-0880), яка є драйвером принтера для 32-розрядних додатків, дозволить зловмисникам перейти від низьких до середніх привілеїв користувача. Якщо патч не може бути негайно розгорнутий, цю уразливість можна нейтралізувати тимчасово, вимкнувши друк. Це впливає на Windows 8.1, Server 2012 і пізніші ОС.
Outlook, Linux SACK і рекомендації, які варто відзначити
Корпорація Microsoft також випустила дві помітні рекомендації, одну для Outlook в Інтернеті та іншу для відомих уразливостей ядра Linux, які були розкриті в червні, а також кілька інших виправлень, які адміністратори повинні визначити за пріоритетами, на думку дослідників.
“Уразливість крос-платформенних сценаріїв в Outlook в Інтернеті (раніше OWA) дозволить зловмисникам надіслати зловмисний файл SVG до цілі, щоб скористатися ним. Проте для успіху від цільового користувача вимагається відкрити файл зображення безпосередньо, перетягнувши його на нову вкладку або вставивши URL-адресу в нову таблицю Хоча це ймовірний сценарій атаки, який поки ніде не був реалізований, Microsoft рекомендує блокувати файли SVG”, – стверджує Qualys.
У червні було повідомлено про декілька вразливостей відмови в обслуговуванні (DoS) для ядра Linux (CVE-2019-11477, CVE-2019-11478 і CVE-2019-11479). Три пов’язані недоліки були виявлені в керуванні мережею TCP ядром Linux; перші два відносяться до пакетів TCP Selective Acknowledgment (SACK), об’єднаних з параметром Maximum Segment Size, а третій лише з параметром Maximum Segment Size. Найбільш серйозна уразливість (CVE-2019-11477, названа SACK Panic) впливає на версії Linux 2.6.29 і вище. Це може дозволити віддаленому зловмиснику викликати паніку ядра в системах, на яких працює програмне забезпечення, що впливає, і, як наслідок, впливати на доступність системи.
Також слід звернути увагу на патч для недоліку RCE SQL Server (CVE-2019-1068). Ця вразливість оцінюється як важлива, і вимагає аутентифікації – однак, вона також може бути прив’язана до SQL ін’єкції, щоб дозволити зловмиснику повністю скомпрометувати сервер, стверджує Qualys, тому має бути визначений пріоритет.
Одним з інших виправлень, які, на думку дослідників, варто виділити, є CVE-2019-0887, уразливість на середньому рівні щодо служб віддалених робочих столів (RDS), розкрита компанією Check Point минулого місяця. Проблема існує в тому, як RDS обробляє перенаправлення буфера обміну, згідно з Ліскою. Він вимагає, щоб зловмисник мав доступ до сервера RDS; коли жертва підключається до цього сервера, зловмисник може використовувати вразливість для виконання довільного коду на системі жертви. Помилка актуальна для всіх версій Windows від Windows 7 до 10 і Windows Server 2008 на 2019 рік.
“Оновлення вівторка” Adobe
Adobe тим часом випускає патчі для Bridge CC, Experience Manager і Dreamweaver. В Experience Manager виправлені три вразливостей, а у Bridge та Dreamweaver — одна. Жодна з них не позначена як критична, а найвища оцінена вразливість для кожного програмного пакета позначена як важлива.
“Adobe випустила три патчі за липень, але дивно, що жоден з них не призначений для Adobe Flash або Acrobat Reader”, – сказав Дастін Чайлдс, дослідник з Zero-Day Initiative (ZDI) компанії Trend Micro (ZDI).
Замість цього, загалом п’ять CVE патчаться виправленнями для Adobe Bridge, Experience Manager і Dreamweaver. CVE, виправлений патчем Bridge, виправляє помилку розкриття інформації і повідомляється через програму ZDI. Патч Experience Manager є найбільшим у цьому місяці. Всі ці виправлені помилки є помилками перевірки вхідних даних. Патч для Dreamweaver виправляє одну проблему завантаження DLL. Жодна з цих помилок не зазначена як загальновідома під час випуску.
Також стало відомо, що Microsoft планує інтегрувати підсистему Windows для Linux 2 у весняне оновлення функцій 2020 року – Windows 20H1. Нова версія постачається з повноцінним ядром Linux і змінює спосіб взаємодії бінарних файлів з Windows і обладнанням комп’ютера.
А Google додала нову функцію для Chrome – розширення безпеки, що дозволяє користувачам швидко повідомляти команді Google Safe Browsing про підозрілі сайти. Розширення Suspicious Site Reporter є безкоштовним в офіційному магазині Chrome Web Store.