DogWalk и другие уязвимости

Microsoft выпустила патчи к более чем 140 уязвимостям, некоторые из них хорошо бы закрыть как можно раньше.

DogWalk и целый ряд уязвимостей в Exchange

В традиционном августовском вторничном патче компания Microsoft закрыла более сотни уязвимостей. Некоторые из них требуют особенно пристального внимания безопасников. В частности, среди этих уязвимостей — 17 критического уровня, две из которых — уязвимости нулевого дня. Известно, что как минимум одна уязвимость уже активно используется злоумышленниками, поэтому с установкой патчей лучше не затягивать. Не случайно и американское Агентство по кибербезопасности и защите инфраструктуры рекомендует обратить внимание на это обновление.

DogWalk (она же CVE-2022-34713) — RCE-уязвимость в MSDT

Самая опасная из свежезакрытых уязвимостей, CVE-2022-34713, потенциально допускает удаленное выполнение постороннего кода (относится к типу RCE). CVE-2022-34713 — это уязвимость в инструменте Microsoft Windows Support Diagnostic Tool (MSDT), как и нашумевшая в мае этого года Follina.

Суть уязвимости заключается в том, как система работает с архивами типа Cabinet (.cab). Чтобы проэксплуатировать ее, злоумышленникам нужно заставить пользователя открыть вредоносный файл, который сохраняет архив.diagcab в папку Startup, так что его содержимое исполнится в следующий раз, когда пользователь перезапустит компьютер и войдет в систему.

Строго говоря, она была обнаружена еще два года назад, но тогда компания почему-то не уделила должного внимания этой проблеме. Теперь уязвимость закрыта, но компания Microsoft уже выявила ее эксплуатацию.

Другие уязвимости, на которые стоит обратить особое внимание

Вторая уязвимость нулевого дня, закрытая в минувший вторник, — CVE-2022-30134 — содержится в Microsoft Exchange. О ней также было известно до того, как Microsoft подготовила патч, но пока вроде бы в дикой природе эта уязвимость не эксплуатировалась. В теории, если злоумышленнику удастся воспользоваться CVE-2022-30134, он сможет читать переписку жертвы по электронной почте. Причем это не единственная проблема в Exchange, исправленная новым патчем: он также закрывает уязвимости CVE-2022-24516, CVE-2022-21980 и CVE-2022-24477, позволяющие атакующим повышать привилегии.

Что касается рейтинга CVSS, то условными чемпионами здесь являются две родственные уязвимости — CVE-2022-30133 и CVE-2022-35744. Обе найдены в протоколе Point-to-Point Protocol (PPP). Обе позволяют злоумышленникам послать определенные запросы к серверу удаленного доступа, который может привести к исполнению вредоносного кода на машине. И обе имеют одинаковый CVSS-рейтинг — 9,8.

Для тех, кто в силу каких-либо причин не может сразу установить патчи, Microsoft рекомендует закрыть порт 1723 (уязвимости могут быть проэксплуатированы только через него). Однако следует помнить, что это может нарушить стабильность коммуникаций в вашей сети.

Как оставаться в безопасности

Уязвимости следует как можно скорее закрыть, не забыв предварительно изучить всю релевантную для вашей инфраструктуры информацию в разделе FAQs, Mitigations, and Workarounds на странице обновления.

Кроме того, следует помнить, что все имеющиеся в компании компьютеры с доступом в Интернет (будь то рабочие станции или серверы) должны быть снабжены надежным решением с технологиями, способными защищать от эксплуатации даже еще не выявленных уязвимостей.

Советы