В случае успешной эксплуатации злоумышленник может получить привилегии SYSTEM.
В случае успешной эксплуатации злоумышленник сможет обойти проверки Windows Defender SmartScreen и связанные с ними предупреждения.
Пользователю достаточно щелкнуть на специально созданном ярлыке Интернета (.URL) или гиперссылке, указывающей на файл Internet Shortcut, чтобы попасть под удар злоумышленника.
Предупреждение: официально необъявленные функции часто бывают проблемными, нестабильными или практически непригодными для использования. Перед включением функций с помощью приложения ViVeTool создайте резервную копию важных данных.
Вам не разрешен просмотр кода. Войдите или Зарегистрируйтесь для просмотра.
Примечание
В примерах используются команды в Терминале для профиля PowerShell . Если вы используете профиль Командная строка, замените начальную команду .\vivetool на vivetool.
Если вы передумали и хотите восстановить исходный вариант, снова откройте Терминал с повышенными правами и измените параметр команды /enable на /disable.
Авторизованный злоумышленник должен отправить пользователю вредоносный файл и убедить пользователя открыть его.
Злоумышленник, успешно воспользовавшийся этой уязвимостью, может обойти пользовательский интерфейс SmartScreen.
Злоумышленник, не прошедший проверку подлинности, может отправить целевому пользователю специально созданный файл, предназначенный для обхода отображаемой проверки безопасности.
У злоумышленника не будет возможности заставить пользователя просмотреть контент, контролируемый злоумышленником. Вместо этого ему придется убедить жертву принять меры, щелкнув ссылку на файл.
Так же, как мы делали это в 2022 году, в этот раз мы немедленно сообщили о наших находках в Microsoft Security Response Center. После подтверждения нашей находки, команда Microsoft добавила соответствующие файлы в свой список отзыва (обновленный сегодня в рамках «Вторника Патчей» см. CVE-2024-26234),
Эта уязвимость связана с CVE-2024-21412, которая была обнаружена исследователями угроз ZDI в реальных атаках и впервые была исправлена в феврале.
Первое исправление не полностью решило проблему. Это обновление устраняет вторую часть цепочки эксплуатации. Microsoft не указала, что они исправляют эту уязвимость, поэтому доступность патча стала приятным сюрпризом.
Злоумышленнику необходимо убедить пользователя загрузить злонамеренный файл в уязвимую систему, обычно путем приманки в сообщении электронной почты или мгновенного сообщения, а затем убедить пользователя манипулировать специально созданным файлом, но не обязательно открывать или кликать по вредоносному файлу.
Атакующий без аутентификации, успешно эксплуатирующий эту уязвимость, может получить возможность выполнения кода, убедив пользователя открыть злонамеренный документ, после чего атакующий может выполнить произвольный код в контексте пользователя.
Напомним, приложение Phone Link позволяет синхронизировать вызовы, сообщения, уведомления и изображения, а также транслировать происходящее на экране пользовательского смартфона на базе Android в Windows. Версия продукта для iOS предлагает меньше функций, но и она может использоваться для синхронизации уведомлений, вызовов и сообщений по Bluetooth.
В прошлом году приложение «Ножницы» в Windows получило функцию извлечения текста с изображений. Это означает, что пользователи устройств с Windows и сейчас имеют возможность извлечения и копирования текста с фотографий. Однако появление этой функции в Phone Link позволит экономить время, поскольку можно будет копировать текст непосредственно с фото, хранящихся в памяти устройства, без необходимости использования «Ножниц».
Согласно имеющимся сведениям, на данном этапе инструмент извлечения текста с изображений в Phone Link работает не так хорошо, как аналоги от Samsung или Apple, но, вероятно, со временем разработчики его улучшат. Новая функция реализована в Phone Link 1.24051.91.0, когда именно она станет общедоступной, пока неизвестно.
3dnews.ru
CVE-2023-50868 касается уязвимости в проверке DNSSEC, где злоумышленник может использовать стандартные протоколы DNSSEC для исчерпания ресурсов на резолвере, вызывая отказ в обслуживании.
Всего исправлено семь критических проблем безопасности, среди которых уязвимости удаленного выполнения кода и повышения привилегий.
Классификация уязвимостей по типу:
30 уязвимостей повышения привилегий
4 уязвимости обхода функций безопасности
23 уязвимости удаленного выполнения кода
11 уязвимостей раскрытия информации
8 уязвимостей отказа в обслуживании
3 уязвимости спуфинга
p>Для установки доступны следующие обновления:
Windows
ОС Windows Сборка Версия Канал Обновление ISO-образы Доступно
Windows 10 19045.4894 22H2 Stable KB5043064 ISO (UUP) 2024-09-10
Windows 11 22631.4169 23H2 Stable KB5043076 ISO (UUP) 2024-09-10
Windows 11 26100.1742 24H2 Stable KB5043080 ISO (UUP) 2024-09-10
Четыре уязвимости «нулевого дня»
В этот «Вторник Патчей» исправлено четыре активно эксплуатируемые уязвимости нулевого дня, одна из которых была публично раскрыта.
Microsoft классифицирует уязвимость как уязвимость нулевого дня, если она публично раскрыта или активно эксплуатируется без официального исправления.
Четыре активно эксплуатируемые уязвимости нулевого дня включают:
CVE-2024-38014 — уязвимость повышения привилегий в установщике Windows
Уязвимость позволяет злоумышленникам получить привилегии SYSTEM на системах Windows. Microsoft не сообщает подробности эксплуатации уязвимости.
CVE-2024-38217 — уязвимость обхода средств безопасности Windows Mark of the Web
Уязвимость была публично раскрыта в прошлом месяце и, предположительно, эксплуатировалась с 2018 года.
Исследователь из из Elastic Security описал технику под названием LNK stomping, которая позволяет специальным файлам LNK с нестандартными путями к целям или внутренними структурами обходить предупреждения Smart App Control и Mark of the Web. При эксплуатации команды, записанные в файле LNK, выполняются без предупреждения.
В бюллетени безопасности Microsoft сообщает:
Злоумышленник может создать вредоносный файл, который обойдет защиту Mark of the Web (MOTW), что приведет к потере целостности и доступности таких функций безопасности, как проверка репутации приложений SmartScreen и предупреждения служб приложений Windows.
CVE-2024-38226 — уязвимость обхода средств безопасности в Microsoft Publisher
Microsoft исправила уязвимость в Publisher, позволяющую обходить защиту от встроенных макросов в загруженных документах.
В бюллетени безопасности сообщается:
Злоумышленник, успешно эксплуатирующий эту уязвимость, может обойти политики макросов Office, используемые для блокировки ненадежных или вредоносных файлов.
CVE-2024-43491 — уязвимость удаленного выполнения кода в Windows Update
Microsoft исправила уязвимость в стеке обслуживания, позволяющую осуществлять удаленное выполнение кода.
Microsoft сообщает:
Нам известно о наличии уязвимости в стеке обслуживания, которая отменила исправления некоторых уязвимостей, затрагивающих необязательные компоненты в Windows 10, версия 1507 (первая версия, выпущенная в июле 2015 года).
Таким образом, злоумышленник мог эксплуатировать ранее исправленные уязвимости в системах Windows 10, версия 1507 (Windows 10 Enterprise 2015 LTSB и Windows 10 IoT Enterprise 2015 LTSB), на которых установлено обновление безопасности Windows от 12 марта 2024 года — KB5035858 (Build 10240.20526) или другие обновления, выпущенные до августа 2024 года. Все более поздние версии Windows 10 не подвержены этой уязвимости.
Эта уязвимость затрагивает только Windows 10, версия 1507, которая перестала поддерживаться в 2017 году. Однако она также влияет на редакции Windows 10 Enterprise 2015 LTSB и Windows 10 IoT Enterprise 2015 LTSB, которые по-прежнему поддерживаются.
Эта уязвимость интересна тем, что она привела к откату необязательных компонентов, таких как Active Directory Lightweight Directory Services, XPS Viewer, Internet Explorer 11, служба печати LPD, IIS и Windows Media Player, к их оригинальным версиям RTM. Это позволило снова ввести ранее исправленные уязвимости, которые могли быть проэксплуатированы злоумышленниками.
Обновления от других компаний
Компания Apache исправила критическую уязвимость удаленного выполнения кода в OFBiz, которая обходила ранее исправленные ошибки.
Компания Cisco исправила несколько уязвимостей, в том числе уязвимость учетной записи администратора с бэкдором в Smart Licensing Utility и уязвимость инъекции команд в ISE.
Атака Eucleak позволяет извлечь секретные ключи ECDSA для клонирования устройств YubiKey FIDO.
Компания Fortinet выпустила обновления безопасности для уязвимостей в Fortisandbox, FortiAnalyzer и FortiManager.
Google выпустил исправление для уязвимости повышения привилегий в Pixel, которая активно эксплуатировалась, и перенесла это исправление на другие устройства Android.
Ivanti выпустила обновления безопасности для критической уязвимости обхода аутентификации в vTM с публичным эксплойтом.
Плагин LiteSpeed Cache для Wordpress исправил проблему перехвата учетной записи без аутентификации.
Уязвимость контроля доступа SonicWall, исправленная в прошлом месяце, теперь эксплуатируется в атаках с применением программ-вымогателей.
Компания Veeam устранила критическую уязвимость удаленного выполнения кода в ПО Backup & Replication.
Компания Zyxel предупредила о критической уязвимости инъекции команд ОС в своих маршрутизаторах.