Microsoft во вторник выпустила ежемесячное обновление для системы безопасности, устраняющее 61 различные недостатки безопасности, охватывающие ее программное обеспечение, включая две критические проблемы, влияющие на Windows Hyper-V. которые могут привести к отказу в обслуживании (DoS) и удаленному выполнению кода.
Из 61 уязвимости две оценены как критические, 58 - как важные и одна - с низкой степенью серьезности. Ни одна из уязвимостей не значится в списке общедоступных или активно атакуемых на момент выпуска, но шесть из них были помечены как "С большей вероятностью использования".
Исправления дополняют 17 недостатков безопасности, которые были исправлены в браузере Edge на базе Chromium с момента выпуска февральского обновления 2024 года, которое было выпущено во вторник.
Возглавляют список критических недостатков CVE-2024-21407 и CVE-2024-21408, которые влияют на Hyper-V. и могут приводить к удаленному выполнению кода и состоянию DoS соответственно.
Обновление Microsoft также устраняет недостатки повышения привилегий в конфиденциальном контейнере службы Azure Kubernetes (CVE-2024-21400, оценка CVSS: 9.0), файловой системе составных образов Windows (CVE-2024-26170, оценка CVSS: 7.8) и аутентификаторе (CVE-2024-21390, оценка CVSS: 7.1).
Для успешной эксплуатации CVE-2024-21390 злоумышленнику необходимо локальное присутствие на устройстве либо с помощью вредоносного ПО, либо с помощью вредоносного приложения, уже установленного каким-либо другим способом. Также требуется, чтобы жертва закрывала и повторно открывала приложение аутентификации.
"Использование этой уязвимости может позволить злоумышленнику получить доступ к кодам многофакторной аутентификации для учетных записей жертвы, а также изменять или удалять учетные записи в приложении authenticator, но не препятствовать запуску приложения", - сказала Microsoft в рекомендательном письме.
"Хотя использование этого недостатка считается менее вероятным, мы знаем, что злоумышленники стремятся найти способы обхода многофакторной аутентификации", - сказал Сатнам Наранг, старший инженер-исследователь в Tenable, в заявлении, опубликованном The Hacker News.
"Иметь доступ к целевому устройству достаточно плохо, поскольку они могут отслеживать нажатия клавиш, красть данные и перенаправлять пользователей на фишинговые веб-сайты, но если цель состоит в том, чтобы оставаться скрытыми, они могут сохранить этот доступ и украсть коды многофакторной аутентификации для входа в конфиденциальные учетные записи, украсть данные или полностью перехватить учетные записи путем смены паролей и замены устройства многофакторной аутентификации, эффективно блокируя доступ пользователя к своим учетным записям ".
Еще одной заслуживающей внимания уязвимостью является ошибка повышения привилегий в компоненте диспетчера очереди печати (CVE-2024-21433, оценка CVSS: 7.0), которая может позволить злоумышленнику получить СИСТЕМНЫЕ привилегии, но только после победы в соревновании.
Обновление также устраняет ошибку удаленного выполнения кода в Exchange Server (CVE-2024-26198, оценка CVSS: 8,8), которой мог злоупотребить не прошедший проверку подлинности субъект угрозы, поместив специально созданный файл в онлайн-каталог и обманом заставив жертву открыть его, что привело к запуску вредоносных DLL-файлов.
Уязвимость с наивысшим рейтингом CVSS - CVE-2024-21334 (оценка CVSS: 9,8), которая касается случая удаленного выполнения кода, влияющего на инфраструктуру открытого управления (OMI).
"Удаленный злоумышленник, не прошедший проверку подлинности, мог получить доступ к экземпляру OMI из Интернета и отправлять специально созданные запросы для запуска уязвимости с последующим освобождением", - сказал Редмонд.
"Первый квартал выпуска исправлений во вторник в 2024 году был более тихим по сравнению с последними четырьмя годами", - сказал Наранг. "В среднем за первый квартал с 2020 по 2023 год было исправлено 237 CVE. В первом квартале 2024 года Microsoft исправила только 181 CVE. Среднее количество исправлений CVE в марте за последние четыре года составило 86."
Из 61 уязвимости две оценены как критические, 58 - как важные и одна - с низкой степенью серьезности. Ни одна из уязвимостей не значится в списке общедоступных или активно атакуемых на момент выпуска, но шесть из них были помечены как "С большей вероятностью использования".
Исправления дополняют 17 недостатков безопасности, которые были исправлены в браузере Edge на базе Chromium с момента выпуска февральского обновления 2024 года, которое было выпущено во вторник.
Возглавляют список критических недостатков CVE-2024-21407 и CVE-2024-21408, которые влияют на Hyper-V. и могут приводить к удаленному выполнению кода и состоянию DoS соответственно.
Обновление Microsoft также устраняет недостатки повышения привилегий в конфиденциальном контейнере службы Azure Kubernetes (CVE-2024-21400, оценка CVSS: 9.0), файловой системе составных образов Windows (CVE-2024-26170, оценка CVSS: 7.8) и аутентификаторе (CVE-2024-21390, оценка CVSS: 7.1).
Для успешной эксплуатации CVE-2024-21390 злоумышленнику необходимо локальное присутствие на устройстве либо с помощью вредоносного ПО, либо с помощью вредоносного приложения, уже установленного каким-либо другим способом. Также требуется, чтобы жертва закрывала и повторно открывала приложение аутентификации.
"Использование этой уязвимости может позволить злоумышленнику получить доступ к кодам многофакторной аутентификации для учетных записей жертвы, а также изменять или удалять учетные записи в приложении authenticator, но не препятствовать запуску приложения", - сказала Microsoft в рекомендательном письме.
"Хотя использование этого недостатка считается менее вероятным, мы знаем, что злоумышленники стремятся найти способы обхода многофакторной аутентификации", - сказал Сатнам Наранг, старший инженер-исследователь в Tenable, в заявлении, опубликованном The Hacker News.
"Иметь доступ к целевому устройству достаточно плохо, поскольку они могут отслеживать нажатия клавиш, красть данные и перенаправлять пользователей на фишинговые веб-сайты, но если цель состоит в том, чтобы оставаться скрытыми, они могут сохранить этот доступ и украсть коды многофакторной аутентификации для входа в конфиденциальные учетные записи, украсть данные или полностью перехватить учетные записи путем смены паролей и замены устройства многофакторной аутентификации, эффективно блокируя доступ пользователя к своим учетным записям ".
Еще одной заслуживающей внимания уязвимостью является ошибка повышения привилегий в компоненте диспетчера очереди печати (CVE-2024-21433, оценка CVSS: 7.0), которая может позволить злоумышленнику получить СИСТЕМНЫЕ привилегии, но только после победы в соревновании.
Обновление также устраняет ошибку удаленного выполнения кода в Exchange Server (CVE-2024-26198, оценка CVSS: 8,8), которой мог злоупотребить не прошедший проверку подлинности субъект угрозы, поместив специально созданный файл в онлайн-каталог и обманом заставив жертву открыть его, что привело к запуску вредоносных DLL-файлов.
Уязвимость с наивысшим рейтингом CVSS - CVE-2024-21334 (оценка CVSS: 9,8), которая касается случая удаленного выполнения кода, влияющего на инфраструктуру открытого управления (OMI).
"Удаленный злоумышленник, не прошедший проверку подлинности, мог получить доступ к экземпляру OMI из Интернета и отправлять специально созданные запросы для запуска уязвимости с последующим освобождением", - сказал Редмонд.
"Первый квартал выпуска исправлений во вторник в 2024 году был более тихим по сравнению с последними четырьмя годами", - сказал Наранг. "В среднем за первый квартал с 2020 по 2023 год было исправлено 237 CVE. В первом квартале 2024 года Microsoft исправила только 181 CVE. Среднее количество исправлений CVE в марте за последние четыре года составило 86."
Исправления программного обеспечения от других поставщиков
Помимо Microsoft, за последние несколько недель обновления для системы безопасности были выпущены и другими поставщиками для исправления нескольких уязвимостей, в том числе —- Adobe
- AMD
- Android
- Apple
- Aruba Networks
- Arm
- Bosch
- Canon
- Cisco
- Citrix
- CODESYS
- Dell
- Drupal
- F5
- Fortinet
- GitLab
- Google Chrome
- Google Cloud
- Google Wear OS
- Hikvision
- Hitachi Energy
- HP
- IBM
- Intel
- Дженкинс
- JetBrains TeamCity
- Lenovo
- Дистрибутивы Linux Debian, Oracle Linux, Red Hat, SUSE и Ubuntu
- MediaTek
- Mitsubishi Electric
- MongoDB
- Mozilla Firefox, Firefox ESR и Thunderbird
- NETGEAR
- NVIDIA
- Программное обеспечение Progress OpenEdge
- QNAP
- Qualcomm
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- SonicWall
- Spring Framework
- Synology
- VMware
- Zoom, and
- Zyxel
