Пусть вас не удивляет, если праздник на пороге, а вашего админа это не радует. В минувший вторник Microsoft закрыла 71 уязвимость, в том числе две бреши, уже используемые itw.
Разработчик также предупредил об утечке цифрового сертификата SSL/TLS для Xbox Live и соответствующих приватных ключей. Скомпрометированный сертификат уже отозван, однако злоумышленники могут им воспользоваться для проведения MitM-атак.
К счастью, его нельзя использовать для выпуска других сертификатов, подделки домена или подписания кода. «На настоящий момент у Microsoft нет данных о связанных с этой проблемой атаках», — отмечено также в информационном бюллетене. Другие бюллетени, общим счетом 12, требуют более неотложного внимания: восемь из них оценены как критические, притом две из соответствующих уязвимостей уже находятся под атакой.
Бюллетень MS15-131 устраняет брешь удаленного выполнения кода (RCE) и пять багов порчи памяти в Microsoft Office, в том числе CVE-2015-6124, атакуемую itw. По словам разработчика, ее эксплойт возможен, если пользователь откроет вредоносный файл в уязвимой Office-программе — например, в Microsoft Word. Использование RCE-бага предполагает отправку вредоносного письма, которое пользователь должен прочесть или открыть в режиме предпросмотра.
«Данная уязвимость опасна для рабочих станций и терминальных серверов, на которых установлен Microsoft Outlook, — предупреждает разработчик в бюллетене. — Риск еще выше для серверов, администраторы которых открыли пользователям доступ для исполнения программ, хотя это обычно расценивается как порочная практика».
Под атакой находится еще одна уязвимость, CVE-2015-6175. Это брешь повышения привилегий в драйверах режима ядра Windows — одна из четырех, закрываемых MS15-135. Ее использование требует наличия локального доступа к уязвимому Windows-клиенту или серверу; успешный эксплойт позволит атакующему устанавливать вредоносное ПО, манипулировать данными и создавать аккаунты полноправного пользователя.
Внимания заслуживает также бюллетень MS15-27, устраняющий уязвимость use-after-free в DNS-сервисе Windows. Этот баг открывает возможность для удаленного исполнения кода путем отправки особого запроса к DNS-серверу. «Шикарный рождественский подарок от Microsoft — оказывается, можно удаленно выполнить код, послав единственный DNS-запрос, — иронизирует Бобби Кузма (Bobby Kuzma), инженер-системотехник из Core Security. — Это настоящая проблема, если в организации есть общедоступные DNS-серверы на Windows. Если внутренний DNS-сервер использует Windows, злоумышленник может развить атаку, применив фишинг против конечных пользователей».
Накопительные обновления для Internet Explorer и Microsoft Edge стали уже доброй традицией. MS15-124 патчит 30 уязвимостей в IE, в том числе почти две дюжины багов нарушения целостности памяти и многочисленные возможности для обхода XSS-фильтра. Исправлены также ошибки порчи памяти и раскрытия информации в движке VBScript; обход ASLR, раскрытие информации и повышение привилегий через браузер. Бюллетень MS15-125 устраняет 15 брешей в Microsoft Edge, включая критические RCE-уязвимости через порчу памяти.
VBScript посвящен также отдельный бюллетень MS15-126 — накопительное обновление для JScript и VBScript. Он закрывает две уязвимости: удаленно эксплуатируемую брешь порчи памяти и раскрытие информации, требующее локального доступа. Следующие бюллетени тоже получили оценку «критический»:
- MS15-128: патч для Microsoft Graphics Component, устраняющий RCE в Windows, .NET, Office и других продуктах Microsoft;
- MS15-129: множественные RCE в Silverlight;
- MS15-130: RCE-баг в Microsoft Uniscribe.
Бюллетени со статусом «важный»:
- MS15-132: множественные RCE в Windows;
- MS15-133: повышение привилегий в Windows PGM;
- MS15-134: множественные RCE в Windows Media Center.
Последний в уходящем году «вторник патчей» также напомнил о грядущем окончании поддержки устаревших версий Internet Explorer: с 12 января Microsoft будет поддерживать лишь новейший IE11 на Windows 7, 8.1 и 10. Кроме старых IE с довольствия будет снята ОС Windows XP Embedded, все еще привлекательная для тех OEM-провайдеров, которые не хотят устанавливать полнофункциональную XP Professional и используют лишь некоторые компоненты операционной системы. К сожалению, XP Embedded все еще широко представлена в сфере ритейла, что лишь на руку операторам PoS-зловредов.
