В традиционном августовском вторничном патче компания Microsoft закрыла более сотни уязвимостей. Некоторые из них требуют особенно пристального внимания безопасников. В частности, среди этих уязвимостей — 17 критического уровня, две из которых — уязвимости нулевого дня. Известно, что как минимум одна уязвимость уже активно используется злоумышленниками, поэтому с установкой патчей лучше не затягивать. Не случайно и американское Агентство по кибербезопасности и защите инфраструктуры рекомендует обратить внимание на это обновление.
DogWalk (она же CVE-2022-34713) — RCE-уязвимость в MSDT
Самая опасная из свежезакрытых уязвимостей, CVE-2022-34713, потенциально допускает удаленное выполнение постороннего кода (относится к типу RCE). CVE-2022-34713 — это уязвимость в инструменте Microsoft Windows Support Diagnostic Tool (MSDT), как и нашумевшая в мае этого года Follina.
Суть уязвимости заключается в том, как система работает с архивами типа Cabinet (.cab). Чтобы проэксплуатировать ее, злоумышленникам нужно заставить пользователя открыть вредоносный файл, который сохраняет архив.diagcab в папку Startup, так что его содержимое исполнится в следующий раз, когда пользователь перезапустит компьютер и войдет в систему.
Строго говоря, она была обнаружена еще два года назад, но тогда компания почему-то не уделила должного внимания этой проблеме. Теперь уязвимость закрыта, но компания Microsoft уже выявила ее эксплуатацию.
Другие уязвимости, на которые стоит обратить особое внимание
Вторая уязвимость нулевого дня, закрытая в минувший вторник, — CVE-2022-30134 — содержится в Microsoft Exchange. О ней также было известно до того, как Microsoft подготовила патч, но пока вроде бы в дикой природе эта уязвимость не эксплуатировалась. В теории, если злоумышленнику удастся воспользоваться CVE-2022-30134, он сможет читать переписку жертвы по электронной почте. Причем это не единственная проблема в Exchange, исправленная новым патчем: он также закрывает уязвимости CVE-2022-24516, CVE-2022-21980 и CVE-2022-24477, позволяющие атакующим повышать привилегии.
Что касается рейтинга CVSS, то условными чемпионами здесь являются две родственные уязвимости — CVE-2022-30133 и CVE-2022-35744. Обе найдены в протоколе Point-to-Point Protocol (PPP). Обе позволяют злоумышленникам послать определенные запросы к серверу удаленного доступа, который может привести к исполнению вредоносного кода на машине. И обе имеют одинаковый CVSS-рейтинг — 9,8.
Для тех, кто в силу каких-либо причин не может сразу установить патчи, Microsoft рекомендует закрыть порт 1723 (уязвимости могут быть проэксплуатированы только через него). Однако следует помнить, что это может нарушить стабильность коммуникаций в вашей сети.
Как оставаться в безопасности
Уязвимости следует как можно скорее закрыть, не забыв предварительно изучить всю релевантную для вашей инфраструктуры информацию в разделе FAQs, Mitigations, and Workarounds на странице обновления.
Кроме того, следует помнить, что все имеющиеся в компании компьютеры с доступом в Интернет (будь то рабочие станции или серверы) должны быть снабжены надежным решением с технологиями, способными защищать от эксплуатации даже еще не выявленных уязвимостей.