Организация информационной безопасности


Microsoft патчит 71 баг; алерт об утечке сертификата

Фотография предоставлена:

Пусть вас не удивляет, если праздник на пороге, а вашего админа это не радует. В минувший вторник Microsoft закрыла 71 уязвимость, в том числе две бреши, уже используемые itw.

Разработчик также предупредил об утечке цифрового сертификата SSL/TLS для Xbox Live и соответствующих приватных ключей. Скомпрометированный сертификат уже отозван, однако злоумышленники могут им воспользоваться для проведения MitM-атак. К счастью, его нельзя использовать для выпуска других сертификатов, подделки домена или подписания кода. «На настоящий момент у Microsoft нет данных о связанных с этой проблемой атаках», – отмечено также в информационном бюллетене.

Другие бюллетени, общим счетом 12, требуют более неотложного внимания: восемь из них оценены как критические, притом две из соответствующих уязвимостей уже находятся под атакой.

Бюллетень MS15-131 устраняет брешь удаленного выполнения кода (RCE) и пять багов порчи памяти в Microsoft Office, в том числе CVE-2015-6124, атакуемую itw. По словам разработчика, ее эксплойт возможен, если пользователь откроет вредоносный файл в уязвимой Office-программе – например, в Microsoft Word. Использование RCE-бага предполагает отправку вредоносного письма, которое пользователь должен прочесть или открыть в режиме предпросмотра.

«Данная уязвимость опасна для рабочих станций и терминальных серверов, на которых установлен Microsoft Outlook, – предупреждает разработчик в бюллетене. – Риск еще выше для серверов, администраторы которых открыли пользователям доступ для исполнения программ, хотя это обычно расценивается как порочная практика».

Под атакой находится еще одна уязвимость, CVE-2015-6175. Это брешь повышения привилегий в драйверах режима ядра Windows – одна из четырех, закрываемых MS15-135. Ее использование требует наличие локального доступа к уязвимому Windows-клиенту или серверу; успешный эксплойт позволит атакующему устанавливать вредоносное ПО, манипулировать данными и создавать аккаунты полноправного пользователя.

Внимания заслуживает также бюллетень MS15-27, устраняющий уязвимость use-after-free в DNS-сервисе Windows. Этот баг открывает возможность для удаленного исполнения кода путем отправки особого запроса к DNS-серверу.

«Шикарный рождественский подарок от Microsoft – оказывается, можно удаленно выполнить код, послав единственный DNS-запрос, – иронизирует Бобби Кузма (Bobby Kuzma), инженер-системотехник из Core Security. – Это настоящая проблема, если в организации есть общедоступные DNS-серверы на Windows. Если внутренний DNS-сервер использует Windows, злоумышленник может развить атаку, применив фишинг против конечных пользователей».

Накопительные обновления для Internet Explorer и Microsoft Edge стали уже доброй традицией. MS15-124 патчит 30 уязвимостей в IE, в том числе почти две дюжины багов нарушения целостности памяти и многочисленные возможности для обхода XSS-фильтра. Исправлены также ошибки порчи памяти и раскрытия информации в движке VBScript; обход ASLR, раскрытие информации и повышение привилегий через браузер. Бюллетень MS15-125 устраняет 15 брешей в Microsoft Edge, включая критические RCE-уязвимости через порчу памяти.

VBScript посвящен также отдельный бюллетень, MS15-126 – накопительное обновление для Jscript и VBScript. Он закрывает две уязвимости: удаленно эксплуатируемую брешь порчи памяти и раскрытие информации, требующее локального доступа.

Следующие бюллетени тоже получили оценку «критический»:

  • MS15-128: патч для Microsoft Graphics Component, устраняющий RCE в Windows, .NET, Office и других продуктах Microsoft;
  • MS15-129: множественные RCE в Silverlight;
  • MS15-130: RCE-баг в Microsoft Uniscribe.

Бюллетени со статусом «важный»:

  • MS15-132: множественные RCE в Windows;
  • MS15-133: повышение привилегий в Windows PGM;
  • MS15-134: множественные RCE в Windows Media Center.

Последний в уходящем году «вторник патчей» также напомнил о грядущем окончании поддержки устаревших версий Internet Explorer: с 12 января Microsoft будет поддерживать лишь новейший IE11 на Windows 7, 8.1 и 10.

Кроме старых IE, с довольствия будет снята ОС Windows XP Embedded, все еще привлекательная для тех OEM-провайдеров, которые не хотят устанавливать полнофункциональную XP Professional и используют лишь некоторые компоненты операционной системы. К сожалению, XP Embedded все еще широко представлена в сфере ритейла, что лишь на руку операторам PoS-зловредов.

11.12.2015 07:19