Microsoft выпустила обновление, исправляющее 118 уязвимостей, включая критические. Угроза затрагивает Windows, Hyper-V и другие продукты. Агентство CISA призывает к срочному установлению патчей для защиты систем.
Корпорация Microsoft осуществила выпуск очередного кумулятивного обновления, нацеленного на исправление 118 уязвимостей в своих продуктах. Из данного числа две уязвимости активно эксплуатируются киберзлоумышленниками, три признаны критическими, а 113 классифицированы как важные или высокоопасные. Остальные две считаются средней степени угрозы.
В данные обновления не вошли 25 патчей для браузера Edge, которые были выпущены ранее, в сентябре 2024 года. Примечательно, что пять уязвимостей получили CVE-индексы еще до выхода исправлений, что означает их предварительное обнародование.
Предварительно известные уязвимости CVE-2024-43572, с оценкой 7,8 по CVSS, связана с удаленным выполнением кода в консоли управления Microsoft и активно эксплуатируемая в атаках; CVE-2024-43573 с оценкой 6,5, допускающая подмену информации в платформе Windows MSHTML; CVE-2024-43583, 7,8 бала, касающаяся повышения привилегий Winlogon; CVE-2024-20659 с оценкой 7,1, связана с обходом функций безопасности Windows Hyper-V; CVE-2024-6197 с оценкой 8,8, связана с удаленным выполнением кода в Curl.Вполне очевидно, что злоумышленники сосредоточились не на самых опасных уязвимостях. Тем не менее, использование данных уязвимостей показывает успешные случаи их эксплуатации. Особо отметим уязвимость CVE-2024-43573 — она схожа с другими уязвимостями MSHTML, активно использованными кибергруппировкой Void Banshee для распространения неблагоприятного ПО Atlantida Stealer.
Компания Microsoft не раскрыла информацию о методах эксплуатации или личностях, стоящих за атаками на две наиболее значимые уязвимости. Лишь для CVE-2024-43572 известны имена исследователей, сообщивших о проблеме. Для CVE-2024-43573 такой информации нет, что, по данным The Hacker News, может указывать на дефективный патч, связанный с прежней уязвимостью.Агентство по кибербезопасности и защите инфраструктуры США призвало государственные учреждения обновить системы до 29 октября, чтобы нейтрализовать указанные угрозы.
Как отметил Никита Павлов, эксперт по информационной безопасности компании SEQ, выпуск столь значительного количества патчей в один день уже не вызывает удивления и относится к обширному диапазону продуктов Microsoft. Однако, добавил он, пройдёт время, прежде чем компания достигнет полного внедрения безопасности в разработке, и исправления уязвимостей станут исключительными случаями, а не регулярной процедурой. Критические уязвимости CVE-2024-43468, оцененная в 9,8 балла по шкале CVSS, позволяла неавторизованным лицам посредством специальных запросов захватывать контроль над Microsoft Configuration Manager из-за небезопасной обработки запросов. Две другие критические уязвимости касаются компонента Visual Studio Code для Arduino (CVE-2024-43488, 8,8 балла) и сервера протокола RDP (CVE-2024-43582, 8,1 балл). Во втором случае эксплуатация требует создания состояния гонки, что в конечном итоге открывает возможность исполнения произвольного кода в среде RPC.