Июльская коллекция патчей от Microsoft получилась достаточно неожиданной. Во-первых, компания вновь лечит, казалось бы, уже похороненный Internet Explorer. Во-вторых, целых шесть из свежих уязвимостей уже активно эксплуатируются злоумышленниками в атаках. Ну а в-третьих, две из этих шести были закрыты не патчами, а как бы рекомендациями.
В целом же статистика такова: закрыто 132 дырки, 9 из них признаны критическими. Эксплуатация 37 уязвимостей может привести к исполнению произвольного кода, 33 — к повышению привилегий, 13 — к обходу функций безопасности, 22 обернутся отказом в обслуживании.
Зачем патчат Internet Explorer
Не так давно мы писали о том, что Internet Explorer мертв, но тело дело его живет. В частности, мы рассказывали о совете Microsoft — продолжать устанавливать обновления безопасности, относящиеся к IE, поскольку некоторые его компоненты до сих пор остаются в системе. И вот теперь становится понятно, почему они этот совет давали. Июльский патч закрывает целых три уязвимости в MSHTML — движке, на котором построен легендарный браузер. В описании к ним Microsoft говорит следующее:
Хотя корпорация Microsoft объявила о прекращении использования приложения Internet Explorer 11, базовые платформы MSHTML, EdgeHTML и скриптовые платформы по-прежнему поддерживаются. Платформа MSHTML используется режимом Internet Explorer в Microsoft Edge, а также другими приложениями через элемент управления WebBrowser. Платформа EdgeHTML используется WebView и некоторыми приложениями UWP. Скриптовые платформы используются MSHTML и EdgeHTML, но также могут использоваться другими устаревшими приложениями.
Чтобы оставаться полностью защищенными, мы рекомендуем клиентам, которые устанавливают только обновления безопасности, установить также и накопительные обновления IE.
Самая опасная из уязвимостей в IE — CVE-2023-32046, и она уже применяется в реальных атаках. Ее успешная эксплуатация позволяет злоумышленникам повысить свои привилегии до уровня атакуемого пользователя. Сценарии атак предполагают создание вредоносного файла, который высылается жертве почтой или размещается на скомпрометированном веб-сайте. Все, что остается, — убедить пользователя перейти по ссылке и открыть файл.
Остальные две уязвимости — CVE-2023-35308 и CVE-2023-35336 — могут быть использованы для обхода функций, обеспечивающих безопасность. Первая позволяет атакующему создать файл, обойдя механизм Mark-of-the-Web, так что этот файл может быть открыт приложениями из пакета Microsoft Office без защищенного режима. И обе дырки могут быть использованы для того, чтобы заставить пользователя получить доступ к URL-адресу в менее ограниченной зоне безопасности Интернета, чем предполагалось.
Рекомендации вместо патчей
Две следующие проблемы уже активно используются злоумышленниками, но вместо полноценных заплаток получили всего лишь рекомендации по защите.
Во-первых, это эксплуатируемая в атаках Storm-0978/RomCom RCE в Office и Windows (CVE-2023-36884, CVSS 8.3). Для защиты от нее Microsoft советует добавить все исполняемые файлы Office в список FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION.
Вторая нерешенная проблема относится к подписи драйверов уровня ядра — она не имеет индекса CVE, а лишь руководство с рекомендациями (ADV-230001). Редмонд отозвал пачку используемых в APT сертификатов разработчика и заблокировал конкретные вредоносные драйверы, но корень проблемы остался. Хакеры по-прежнему умудряются подписать драйверы у Microsoft или использовать трюк с подписью сертификата задним числом, чтобы он проходил по одному из исключений и не требовал подписи на MS Developers Portal.
Для защиты Microsoft рекомендует поддерживать Windows и EDR обновленными. Единственное слабое утешение состоит в том, что для эксплуатации таких драйверов атакующий должен иметь привилегии администратора.
Остальные активно эксплуатируемые уязвимости
Кроме вышеупомянутых, еще три уязвимости уже используются преступниками в атаках.
- CVE-2023-32049 — уязвимость обхода функций безопасности SmartScreen, эксплуатация позволяет создать файл, который открывается без демонстрации предупреждения Windows «файл загружен из Интернета».
- CVE-2023-36874 — уязвимость эскалации привилегий в Windows Error reporting service. Дает возможность атакующим повысить привилегии, если у них уже есть обычные права на создание папок и технических файлов мониторинга производительности.
- CVE-2023-35311 — уязвимость обхода функций безопасности в Outlook, эксплуатация позволяет избежать демонстрации предупреждений при использовании предварительного просмотра.
Как оставаться в безопасности
Для того чтобы корпоративные ресурсы оставались в безопасности, мы рекомендуем незамедлительно установить свежие заплатки, а также не забывать защищать все рабочие компьютеры и серверы при помощи современных решений, способных выявлять эксплуатацию как уже известных, так и пока еще не исследованных уязвимостей.