Технология «Безопасную загрузку» (Secure Boot) блокирует недоверенные загрузчики на компьютерах с UEFI и чипом TPM (Trusted Platform Module). Функция позволяет обезопаситься от руткитов при запуске системы.

Согласно публикации в блоге Microsoft Security Response Center, уязвимость CVE-2023-24932 использовалась для обхода исправлений, выпущенных для CVE-2022-21894, еще одной ошибки Secure Boot, которая использовалась в атаках BlackLotus в прошлом году.

Microsoft сообщает:

Исправление уязвимости CVE-2023-24932 в Диспетчере загрузки Windows, выпущенное 9 мая 2023 года, предотвращает данный вид атак, но по умолчанию отключено и не обеспечивает защиту.

Уязвимость позволяет злоумышленнику выполнять самоподписанный код на уровне UEFI при включенной безопасной загрузке.

Злоумышленники используют уязвимость в первую очередь как механизм сохранения угрозы на устройстве и уклонения от защиты. Успешная эксплуатация зависит от того, имеет ли злоумышленник физический доступ или привилегии локального администратора на целевом устройстве.

Данной уязвимости подвержены все системы Windows, в которых включены защиты Secure Boot, включая локальные, виртуальные машины и облачные устройства.

Тем не менее, исправления CVE-2023-24932 доступны только для поддерживаемых версий Windows 10, Windows 11 и Windows Server в следующих обновлениях:

Обновление KB5026372 (Build 22621.1702) для Windows 11, версия 22H2
Обновление KB5026368 (Build 22000.1936) для Windows 11, версия 21H2
Обновление KB5026361 для Windows 10, версия 22H2 и 21H2
Обновления безопасности для Windows Server за май 2023.

Как защититься от атак с использованием CVE-2023-24932?

Выпущенные Microsoft обновления безопасности являются необязательными и по умолчанию отключены.

Чтобы защитить свои устройства Windows, клиенты должны пройти ряд шагов «для обновления загрузочного носителя и отзыва загрузчика перед включением этого обновления».

Чтобы включить защиту от ошибки обхода Secure Boot с идентификатором CVE-2023-24932, необходимо выполнить следующие действия в строгом порядке:

Установите обновления безопасности от 9 мая 2023 г. на всех затронутых системах.
Обновите загрузочный носитель с помощью обновлений Windows, выпущенных 9 мая 2023 г. или позже. Если вы не создаете собственный носитель, вам потребуется получить обновленный официальный носитель от Microsoft или производителя вашего устройства (OEM).
Выполните отзыв загрузчика для защиты от уязвимости CVE-2023-24932.
Microsoft также использует поэтапный подход к обеспечению защиты от уязвимости CVE-2023-24932, чтобы уменьшить влияние на клиентов.

График внедрения мер защиты включает в себя три этапа:

9 мая 2023 г.: выпущено первоначальное исправление для CVE-2023-24932. В этом выпуске для исправления требуется установленное обновление безопасности Windows от 9 мая 2023 г. и дополнительные действия пользователя.
11 июля 2023 г.: во втором выпуске будут представлены дополнительные параметры обновления, упрощающие развертывание средств защиты.
Первый квартал 2024 г.: в финальном выпуске исправление CVE-2023-24932 будет включено по умолчанию и будет принудительно отзывать загрузчик на всех устройствах Windows.
Microsoft также предупредила клиентов, что отменить изменения после того, как средства защиты от CVE-2023-24932 будут полностью развернуты, уже не получится:

Включение исправления означает отзыв загрузчика, данное действия нельзя отменить, если вы продолжите использовать Secure Boot на своем устройстве.

Даже форматирование диска не отменит эту операцию.

В четвертом квартале 2023 финансового года (не совпадает с календарным, — прим. ред.) капитальные затраты Microsoft увеличились до 10,7 млрд долларов, поскольку американская корпорация вкладывает значительные средства в центры обработки данных, вычисления и сети, чтобы удовлетворить растущий спрос на искусственный интеллект (ИИ). За отчетный период выручка Microsoft составила 56,2 млрд долларов — на 8 % больше, чем годом ранее. При этом вклад ИИ в рост выручки не превышает одного процентного пункта, а в следующем квартале составит два процентных пункта, пишет издание Data Centre Dynamics. Компания не раскрывает конкретных финансовых данных по направлению искусственного интеллекта, о его прибыльности можно судить лишь по косвенным сведениям. Так, подразделение, в которое входит облачная платформа Azure (Microsoft является единственным облачным провайдером OpenAI, — прим. ред.), получило доход в размере 24 млрд долларов. В Microsoft заявили, что капитальные затраты продолжат расти каждый квартал в течение 2024 финансового года.

Уже доступна предварительная версия данного функционала, позволяющая пользователям Excel модифицировать и анализировать данные с помощью языка Python.

Генеральный менеджер подразделения Modern Work в Microsoft Стефан Киннестранд (Stefan Kinnestrand) заявил:

Вы можете манипулировать и исследовать данные в Excel с помощью графиков и библиотек Python, а затем использовать формулы, диаграммы и таблицы PivotTables Excel для дальнейшего уточнения своих гипотез.

Теперь вы можете выполнять расширенный анализ данных в привычной среде Excel, обращаясь к Python непосредственно с панели инструментов Excel.

Для доступа к Python в Excel не потребуется устанавливать дополнительное ПО или конфигурировать надстройку, поскольку интеграция Python будет осуществляться в рамках встроенных коннекторов Excel и Power Query. Microsoft также добавляет новую функцию PY, которая позволяет отображать данные Python в сетке таблицы Excel. Благодаря партнерству с Anaconda, корпоративным репозиторием Python, в Excel будут доступны такие популярные библиотеки Python, как pandas, statsmodels и Matplotlib.

[ Гостям не разрешен просмотр вложений ]

Все вычисления с помощью Python выполняются в облаке Microsoft Cloud, а результаты возвращаются в рабочий лист Excel. Пользователи Excel смогут создавать формулы, таблицы PivotTable и графики на основе данных Python, а также подключать библиотеки построения графиков  Matplotlib и Seaborn для визуализации тепловых карт, построения скрипичных и роевых диаграмм.

Гвидо ван Россум (Guido van Rossum), создатель Python, который теперь является выдающимся инженером Microsoft заявил:

Я очень рад, что эта превосходная и тесная интеграция Python и Excel теперь реализована. Я ожидаю, что оба сообщества найдут в этом сотрудничестве новые интересные применения, усиливающие возможности каждого из партнеров. Когда я пришел в Microsoft три года назад, я и представить себе не мог, что такое возможно.

На данный момент Python в Excel распространяется в виде публичной предварительной версии для инсайдеров Microsoft 365 канала Beta Channel. Сначала функция будет доступна только для Windows, а затем будет предложена и для других платформ. По словам представителей Microsoft, уже во время предварительного тестирования Python in Excel будет включен в подписку Microsoft 365, но «некоторые функции будут ограничены платной лицензией» после окончания тестового периода.

Для пользователей Microsoft OneDrive обычно ассоциируется с облаком. И хотя клиентское приложение OneDrive поддерживает возможность пометить некоторые файлы и папки для автономного доступа, файлы большинства пользователей доступны только в режиме «онлайн».

Новый автономный режим («оффлайн») OneDrive в некоторой степени изменит эту ситуацию. Microsoft планирует запустить предварительную версию функционала в ноябре 2023 года, а через месяц распространить на всех пользователей OneDrive.

По словам представителей Microsoft, автономный режим — это новая функция, которая работает только в браузере. Она добавляет возможность «просматривать, сортировать, переименовывать, перемещать, копировать и удалять файлы» даже при отсутствии подключения к Интернету.

Пользователи OneDrive смогут открывать и использовать любые файлы, доступные в автономном режиме, в локальной системе. Любые внесенные изменения будут автоматически синхронизированы с облаком после восстановления соединения с Интернетом.

Пока Microsoft не сообщает о возможных ограничениях, например будет ли данная функция работать только в определенных браузерах.

Все это напоминает аналогичный функционал в Google Диске. Пользователям Google, чтобы воспользоваться автономным режимом, необходимо установить расширение для браузера. Это единственная возможность использовать Google Документы, Google Таблицы и Google Презентации в автономном режиме.

Идея локального доступа к файлам, размещенным в облачном пространстве не нова. Пользователи OneDrive теоретически могут редактировать любой файл, доступный локально, в любое время, независимо от состояния подключения к Интернету.

Автономный режим теперь добавляет эту возможность в веб-браузер. Новая функция будет полезна тем пользователям, которые выполняют большую часть операций по редактированию и управлению файлами в именно браузере, а не локально.

Только 12 уязвимостей получили наивысший рейтинг опасности — «Критический». При этом сразу 45 исправленных дефектов безопасности связаны с удаленным выполнением кода.

Классификация уязвимостей по типу:

26 уязвимостей повышения привилегий
3 уязвимости обхода функций безопасности
45 уязвимостей удаленного выполнения кода
12 уязвимостей раскрытия информации
17 уязвимостей отказа в обслуживании
1 уязвимость спуфинга
В число исправленных ошибок не входит уязвимость Chromium с идентификатором CVE-2023-5346, которая была исправлена Google 3 октября и портирована в Microsoft Edge.

Для установки доступны следующие обновления:

Windows
Обновление KB5031354 (Build 22631.2428) для Windows 11, версия 23H2
Обновление KB5031354 (Build 22621.2428) для Windows 11, версия 22H2
Обновление KB5031358 (Build 22000.2538) для Windows 11, версия 21H2
Обновление KB5031356 (19045.3570) для Windows 10, версия 22H2

Исправлено три активно эксплуатируемые уязвимости
В рамках текущего выпуска «Вторника Патчей» было исправлено три уязвимости нулевого дня. Все они использовались в реальных атаках, а две из них были публично раскрыты.

Microsoft классифицирует уязвимость как уязвимость нулевого дня, если она публично раскрыта или активно эксплуатируется без официального исправления.

Исправлены следующие уязвимости нулевого дня:

CVE-2023-41763 — уязвимость повышения привилегий в Skype для бизнеса.
Microsoft устранила активно эксплуатируемую уязвимость в Skype для бизнеса, которая классифицируется как ошибка повышения привилегий.

В бюллетени по безопасности сообщается:

В случае успешной эксплуатации злоумышленник может просмотреть некоторую конфиденциальную информацию, но не все ресурсы внутри затронутого компонента могут быть разглашены злоумышленнику.

При этом злоумышленник не сможет внести изменения в раскрытую информацию или ограничить доступ к ресурсу.

Уязвимость обнаружена доктором Флорианом Хаузером. Он отметил, что уязвимость можно использовать для доступа к системам во внутренних сетях. По сути, она позволяет нарушить периметр Интернета, поскольку Skype обычно находится в публичном сегменте глобальной сети.

CVE-2023-36563 - уязвимость раскрытия информации в Microsoft WordPad
Компания Microsoft исправила активно эксплуатируемую уязвимость, которая может быть использована для кражи NTLM-хэшей при открытии документа в WordPad.

В бюллетени по безопасности сообщается:

Для проведения атаки злоумышленнику необходимо сначала войти в систему, потом запустить специально созданное приложение, которое эксплуатирует уязвимость и получает контроль над пораженной системой.

Кроме того, злоумышленник может убедить локального пользователя открыть вредоносный файл. Он должен мотивировать пользователя перейти по ссылке, обычно с помощью заманчивого сообщения в электронной почте или мессенджере, а затем убедить его открыть специально созданный файл.

Эти NTLM-хэши могут быть взломаны или использованы в NTLM Relay-атаках для получения доступа к учетной записи.

Этот дефект был обнаружен внутренней группой Microsoft Threat Intelligence и, по-видимому, является ответвлением дефекта CVE-2023-36761, исправленного в прошлом месяце.

CVE-2023-44487 - Атака HTTP/2 Rapid Reset
Компания Microsoft выпустила средства защиты от новой DDoS-атаки «нулевого дня» под названием «HTTP/2 Rapid Reset», которая активно эксплуатируется с августа, побив все предыдущие рекорды.

Эта атака использует функцию отмены потока HTTP/2 для непрерывной отправки и отмены запросов, перегружая целевой сервер или приложение и вызывая состояние отказа в обслуживании.

Поскольку данная функция встроена в стандарт HTTP/2, не существует какого-либо «исправления», которое можно было бы реализовать, кроме ограничения скорости или блокировки протокола.

В рекомендации Microsoft предлагает отключить протокол HTTP/2 на веб-сервере. Однако компания также предоставила отдельную статью о HTTP/2 Rapid Reset с дополнительной информацией.

Этот дефект был раскрыт сегодня в ходе скоординированного взаимодействия Cloudflare, Amazon и Google.

Microsoft утверждает, что CVE-2023-41763 и CVE-2023-36563 были раскрыты публично.

Обновления от других компаний

Компания Apple исправила две уязвимости нулевого дня в iOS 17.0.3.
Компания Arm раскрыла новые дефекты GPU Mali, используемые в атаках.
Компания Cisco выпустила обновления безопасности для различных продуктов, в том числе для жестко закодированных учетных данных root в Emergency Responder.
Компания Citrix выпустила исправления для дефекта Citrix NetScaler ADC и Gateway, раскрывающего конфиденциальную информацию.
Опубликованы технические подробности уязвимости нулевого дня для D-Link DAP-X1860 WiFi 6.
В Exim исправлены три из шести раскрытых уязвимостей нулевого дня.
Google выпустила обновления безопасности Android за октябрь 2023, устраняющие активно эксплуатируемые уязвимости.
GNOME подвержен дефекту удаленного выполнения кода, который может быть спровоцирован загрузкой файла cue.
Новая атака нулевого дня HTTP/2 Rapid Reset бьет рекорды DDoS.
Дистрибутивы Linux затронуты новой ошибкой «Looney Tunables», которая позволяет получить root на затронутых системах.
Атака Marvin возрождает 25-летний дефект дешифрования в RSA.
Microsoft выпустила экстренные обновления для Edge и Teams, устраняющее две уязвимости нулевого дня.
Компания SAP выпустила обновления безопасности за октябрь 2023 года.
Новые дефекты ShellTorch затрагивают инструмент для обслуживания ИИ-моделей с открытым исходным кодом TorchServe