Adobe

Microsoft стартира 2022 година с необичайно голям за месец януари ъпдейт: отстранени са 96 нови уязвимости в Microsoft Window, Microsoft Edge (Chromium-based), Exchange Server, Microsoft Office, SharePoint Server, .NET Framework, Microsoft Dynamics, Open-Source Software, Windows Hyper-V, Windows Defender и Windows Remote Desktop Protocol (RDP).

Препоръчително е да приложите ъпдейтите възможно най-скоро.

Девет от уязвимостите са класифицирани като Critical:

• CVE-2022-21907 (HTTP Protocol Stack Remote Code Execution Vulnerability), засягаща HTTP Protocol Stack (http.sys). Уязвимостта предполага, че може да бъде ескалирана в заплаха тип worm malware (червей).

За момента няма PoC (Proof of Concept) и не са засечени реални атаки (in-the-wild), но е желателно да се приоритизира прилагането на пачовете, особено върху сървъри с публично достъпни Web услуги (IIS и други web сървъри).

Клиентите (Windows Desktop) също са потенциално уязвими.

За по-детайлна информация препоръчваме този ресурс.

• CVE-2022-21846(Microsoft Exchange Server Remote Code Execution Vulnerability)

С последните няколко ъпдейта са отстранени три RCE уязвимости, но тази е класифицирана с най-голяма тежест. Засега е ясно, че  може да бъде експлоатирана само от съседна мрежа (частна мрежа), т.е. не би трябвало да е възможно да бъде осъществена атака от интернет.

• CVE-2022-21840(Microsoft Office Remote Code Execution Vulnerability): RCE в Office пакета с критична важност, понеже експлоатацията би мога да бъде осъществена без съдействието (кликане) и знанието (warning) на потребителя, използващ софтуера.
• CVE-2022-21857(Active Directory Domain Services Elevation of Privilege Vulnerability): позволява ескалиране на права (privilege escalation) в AD инфраструктура. Обикновено такива уязвимости се категоризират като Important, но този е Critical.
• Няколко сериозни CVE-та относно code execution в RDP клиента/протокола: изискването за успешна експлоатация е клиентът да се свърже със злонамерен RDP сървър. Повече инфо – https://www.cyberark.com/resources/threat-research-blog/attacking-rdp-from-inside

Извън контекста на сигурността, Microsoft наскоро пусна out of band patch, относно RDP проблеми в сървърните дистрибуции. За инструкции как да инсталирате тази актуализация за вашата операционна система, вижте KB, изброени по-долу:

• Windows Server 2022: KB5010197
• Windows Server 2019: KB5010196
• Windows Server 2016: KB5010195
• Windows Server 2012 R2: KB5010215

Още ъпдейти от вендори

• Adobe: Пет пача отстраняват 41 уязвимости (CVE) в Acrobat and Reader, Illustrator, Adobe Bridge, InCopy и InDesign. Препоръчително е да се обнови Acrobat and Readerдо най-актуална версия. Повече информация: https://helpx.adobe.com/security.html
• Apple: iOS/iPad OS Fixing HomeKit Vulnerability / Private Relay issues:
  https://support.apple.com/en-us/HT201222
  https://www.macrumors.com/2022/01/12/apple-icloud-private-relay-ios-15-2/

Microsoft отстрани общо 58 уязвимости в рамките на Patch Tuesday за декември 2020 г. Броят на „кръпките“ всъщност е доста малък, сравнено с предходни месеци.

Само 9 от уязвимостите са категоризирани като критични. Сред тях са няколко, които засягат Microsoft Dynamics 365 (CVE-2020-17158 и CVE-2020-17152),  Microsoft Exchange (CVE-2020-17117, CVE-2020-17132 и CVE-2020-17142) и Microsoft SharePoint (CVE-2020-17121 иCVE-2020-17118).

Интересна е още препоръката, свързана с уязвимост, която засяга Windows DNS Resolver. Става дума за възможно DNS кеширане, причинено от фрагментация на IP.

Други „закърпени“ уязвимости с декемврийския ъпдейт, са на Adobe, OpenSSL, IBM, SAP, Kubernetes.

Последен ъпдейт на 4 май 2020 в 12:08 ч.

Microsoft

С редовния Patch Tuesday за Април 2020 Microsoft поправят 113 (CVEs) уязвимости в Microsoft Windows, Microsoft Edge (EdgeHTML-based and Chromium-based), ChakraCore, Internet Explorer, Office and Office Services and Web Apps, Windows Defender, Visual Studio, Microsoft Dynamics, Microsoft Apps for Android, and Microsoft Apps for Mac.

17 от тези CVE са категоризирани като критични (Critical), а останалите 96 от тях са важни (Important). Три от уязвимостите за Windows вече се експлоатират „in the wild“, т.е. активно се извършват атаки чрез тях и опасността е реална! Администраторите трябва да приоритизират прилагането на обновленията.

По–интересните уязвимости, които са „закърпени“ с този ъпдейт, включват:

CVE-2020-1020 | Adobe Font Manager Library Remote Code Execution Vulnerability
Засегнати са всички Windows операционни системи, като за по–старите (Windows 7-8.х и Windows Server 2008 – 2012) сериозността е  Critical, а за по–новите (Windows 10 и Windows server 2016-2019) – е с ниво  Important. Операционните системи, които са извън поддръжка (Windows 7 и Server 2008.X) ще получат обновленията само ако имат активиран ESU лиценз.

Ако сте приложили заобиколните решения (workarounds) за справяне с тази уязвимост, след прилагане на обновлението може да върнете настройките към първоначалното им състояние.

CVE-2020-0993 | Windows DNS Denial of Service Vulnerability
Засегнати са всички Windows версии, но понеже тази уязвимост не позволява отдалечено изпълнение на код (RCE), е категоризирана с Important. Трябва да се отбележи, че засегнатият сервиз е DNS service, а не DNS Server, т.е. уязвими са не само DNS сървърите, но и клиентите. Все още не е известно да има PoC и не са засечени активни атаки, но успешната експлоатация на тази уязвимост би довела до огромни поражения.

CVE-2020-0981 | Windows Token Security Feature Bypass Vulnerability
Рядко се случва така, че прескачането на механизъм за сигурност директно да води до бягство от sandbox, но точно това позволява тази грешка.

Уязвимостта е резултат от неправилно управление на свързани тоукъни в Windows. Нападателите биха могли да злоупотребят с това, за да позволят на приложение с определено ниво на интегритет да изпълни код на различно, вероятно по-високо ниво. Резултатът е бягство от sandbox средата. Това засяга само Windows 10 версия 1903 и по-нови, тъй като кодът, позволяващ тази уязвимост е сравнително отскоро.

В този ъпдейт също са отстранени бъгове, свързани с win32k, както и 16 уязвимости, свързани с разкриване на чувствителни данни (information disclosure). Един от тях е в Microsoft Dynamics Business Central, като интересното при него е, че позволява директното разкриване на иначе замаскирана информация в полета… например пароли!

Вижте пълен списък на обновленията и информация за тях.

VMware

Уязвимост CVE-2020-3952 във vCenter Server отбелязва „перфектните“ 10 CVSS точки! Този проблем със сигурността засяга VMware Directory Service (vmdir) само при надстроени (upgraded) инсталации и се дължи на неправилно внедрени контроли за достъп.

Поради критичния характер на тази уязвимост и рисковете за сигурността, силно се препоръчва да приложите обновленията за vCenter Server възможно най-скоро.

Adobe

Обновленията за Април включват подобрения в Adobe ColdFusion, After Effects, and Digital Editions. Уязвимостите могат да се нарекат „скучни“, понеже всички CVEs, свързани с тях, са категоризирани с Important и няма информация за активната им експлоатация. Актуализацията за ColdFusion трябва да бъде приоритетна за внедряване, тъй като включва отсраняване на  локална ескалация на привилегиите (LPE),  грешка за разкриване на информация (information disclosure) и отказ от услуга (DoS).

Oracle

Гигантите от Oracle Corp. „смачкват“ 405 буболечки (bugs) с пуснатите през този месец обновления.Те разкриха, че 286 от тези уязвимости могат да бъдат експлоатирани отдалечено и засягат близо две дузини продуктови линии.

Впечатление правят множество критични недостатъци, оценени с 9,8 CVSS, в 13 ключови продукта на Oracle, включително Financial Services Applications, Oracle MySQL, Retail Applications и Oracle Support Tools.

Актуализациите отстраняват и недостатъци със средна тежест за Oracle Java платформата, стандартно издание (Java SE), използвана за разработване и внедряване на Java приложения. Петнадесет грешки с CVSS рейтинг 8,5 могат да бъдат експлоатирани отдалечено (по мрежата) от неоторизиран нападател, тоест не се изискват потребителски идентификационни данни.

В заключение, екипът на freedomonline.bg може да посъветва – прилагайте обновления навреме и редовно. Ъпдейтите не са като виното и не стават по–добри с отлежаването! Напротив!

Две zero-day уязвимости, позволяващи компроментиране на операционната система Windows са разкрити от анализатори на ESET и Microsoft, съобщава thehackernews.com.

Едната от тях е репортната от ESET още през март, когато анализаторите на компанията откриват компроментиран файл във VirusTotal. Уязвимостта е докладвана на Microsoft веднага, тъй като позволява „злоупотреба с вече известна пробойна в ядрото на Windows“.

След анализ, Microsoft открива, че в изпратения файл са налични два zero-day експлойта – един за Adobe Acrobat и Reader (CVE-2018-4990) и един за Microsoft Windows (CVE-2018-8120). И двете са патчнати през май, а вече е достъпна детайлна информация за начина, по който работят/

Финална версия или просто проба

Според анализа на Microsoft, зловредният PDF файл е бил в ранен етап от разработката си, тъй като „файлът не сваля payload и прилича повече на proof-of-concept (PoC).“

Изглежда целта е била да бъде създаден мощен инструмент за атака, който е бил разкрит поради невнимание на атакуващите при качването му във VirusTotal.

Какво може кодът

„Експлойтът за Adobe засяга JavaScript ендижина на компанията, като позволява изпълняването на шел код през този модул,“ коментират анализатори на Microsoft. „Втората уязвимост засяга по-стари версии на Windows (Windows 10 не е уязвим) и позволява шел кода да работи извън sandbox-a на Adobre Reader и да получи привилегия за работа през ядрото на Windows,“ пише още в анализа.

Експлойтът е включен в PDF под формата на JPEG 2000 изображение, в което се съдържа JavaScript кода му. След стартирането на файла, той инициира свалянето на празен VB скрипт в Startup директорията на Windows.

Файлът е разкрит от ESET след качването му в репозитори с различни други зловредни кодове.

Microsoft и Adobe вече са публикували патчове за двете уязвимости още през май. Може да ги намерите на линковете по-долу:

• CVE-2018-4990
• CVE-2018-8120