Microsoft сообщила об изменениях графика выхода обновлений Windows 11 и Windows 10 в декабре 2023 года. Следующие предварительные «необязательные исправления» (релиз «типа С») ожидаются в январе 2024 года

В декабре 2023 года компания Microsoft планирует приостановить выпуск предварительных обновлений для операционных систем Windows 11 и Windows 10. Об этом компания сообщила в примечаниях к релизу KB5032278 (Build 19045.3758) Preview для Windows 10, версия 22H2. Это решение обусловлено сокращением операционной активности во время западных праздников и в преддверии Нового года. Важно отметить, что в этот период не будут выпущены обновления, которые не связаны с безопасностью.

Компания Microsoft предлагает необязательные исправления «типа С» для системных администраторов, чтобы на протяжении трех недель они могли протестировать доступные патчи и улучшения до того, как они станут частью обязательного накопительного выпуска «типа B».

«Вторник патчей», 12 декабря 2023 года
Однако, несмотря на приостановку предварительных обновлений, в следующий «Вторник патчей», 12 декабря 2023 года, Microsoft всё же выпустит ежемесячное обновление системы безопасности. Это обновление является критически важным для обеспечения безопасности операционных систем и защиты пользователей от новых угроз и уязвимостей.

После периода праздничного затишья, обычный график ежемесячного обслуживания выпусков, включая систему безопасности и предварительные версии обновлений, которые не связаны с безопасностью, возобновится в январе 2024 года. Это означает, что пользователи смогут ожидать возобновления регулярных обновлений, включая новые функции и улучшения, начиная со следующего года.

Пользователям важно следить за обновлениями безопасности и устанавливать их вовремя, чтобы обеспечить защиту своих систем. В то же время, временная приостановка предварительных обновлений не должна существенно повлиять на функциональность и безопасность операционных систем Windows 11 и Windows 10.

В новом обновлении Windows 11 Insider Preview Build 26002 на канале Canary, Microsoft начала тестирование функциональности, направленной на полное удаление старого кода панели задач от Windows 10. Этот код до сих пор присутствует в операционной системе Windows 11 и может быть использован сторонними приложениями для восстановления классического вида панели задач. Однако Microsoft намерена изменить эту ситуацию.

В Windows 11 Build 26002 был введен новый компонент с идентификатором 42537950, названный DisableWin10Taskbar. Когда он активирован, он предотвращает загрузку устаревшего кода, что означает, что инструменты, такие как ExplorerPatcher, которые легко восстанавливают внешний вид панели задач Windows 10, перестанут работать. Если новая опция активна, запуск ExplorerPatcher приведет к сбою оболочки Explorer, в результате чего будет загружена панель задач Windows 11.

<a href="https://www.youtube.com/watch?v=L09ihgfwYNQ" target="_blank">https://www.youtube.com/watch?v=L09ihgfwYNQ</a>

Предполагается, что в будущем Microsoft по умолчанию включит эту функцию и заблокирует её, оставив пользователей только с новой панелью задач.

Любой желающий может активировать DisableWin10Taskbar с помощью приложения ViVeTool и удалить старый код уже сейчас.

Как удалить старую панель задач от Windows 10 из Windows 11

Предупреждение: официально необъявленные функции часто бывают проблемными, нестабильными или практически непригодными для использования. Перед включением функций с помощью приложения ViVeTool создайте резервную копию важных данных.

Установите Windows 11 Build 26002 (Canary). Готовые ISO-образы Windows 11 Insider Preview build 26002.1000 (x64) на русском (RU-RU) и английском (EN-US) языках, включая гибридный ISO-образ для обхода ограничений установки с поддержкой обновления поверх и сохранением данных.
Скачайте инструмент ViveTool 0.3.3. Разархивируйте загруженный архив.
Запустите Терминал Windows от имени администратора и перейдите в папку с программой с помощью команды Set-Location -Path <путь к папке> (для PowerShell) или cd /d <путь к папке> (для Командной строки).
Выполните указанную ниже команду (предложения будут показываться снизу):

Вам не разрешен просмотр кода. Войдите или Зарегистрируйтесь для просмотра.

Примечание
В примерах используются команды в Терминале для профиля PowerShell . Если вы используете профиль Командная строка, замените начальную команду .\vivetool на vivetool.

Если вы передумали и хотите восстановить исходный вариант, снова откройте Терминал с повышенными правами и измените параметр команды /enable на /disable.

Перезапустите ПК.
После этого старая панель задач от Windows 10 будет удалена из Windows 11.

CVE-2024-26234: подделка прокси-драйвера
Первая уязвимость, зарегистрированная под идентификатором CVE-2024-26234 и описанная как уязвимость подделки прокси-драйвера, была выявлена при отслеживании злонамеренного драйвера, подписанного с использованием действительного сертификата Microsoft Hardware Publisher, который был обнаружен Sophos X-Ops в декабре 2023 года.

Злонамеренный файл был обозначен как «Служба клиента аутентификации каталога» (Catalog Authentication Client Service) от «Каталога Thales». Вероятно, это попытка выдать себя за группу Thales. Однако дальнейшее расследование показало, что ранее зловред был связан с маркетинговым ПО под названием LaiXi Android Screen Mirroring.

Руководителем группы Sophos X-Ops, Кристофер Бадд заявил:

Так же, как мы делали это в 2022 году, в этот раз мы немедленно сообщили о наших находках в Microsoft Security Response Center. После подтверждения нашей находки, команда Microsoft добавила соответствующие файлы в свой список отзыва (обновленный сегодня в рамках «Вторника Патчей» см. CVE-2024-26234),

Обнаружения Sophos подтверждают и дополняют информацию, представленную в январском отчете компании по кибербезопасности Stairwell и твите эксперта по обратному инжинирингу Йохана Айдинба (Johann Aydinba).

Уже после первичной публикации бюллетеня по безопасности, Редмонд скорректировал статуса эксплуатации CVE-2024-26234, подтверждая, что уязвимость использовалась в реальных атаках и публично раскрыта.

Компания Sophos сообщила о других злонамеренных драйверах, подписанных с использованием законных сертификатов WHCP, в июле 2023 года и декабре 2022 года, но для них Microsoft публиковала советы по безопасности вместо присвоения идентификаторов CVE, как сегодня.

CVE-2024-29988: обход защиты Mark of the Web

Вторая уязвимость «нулевого дня», незаметно исправленная Microsoft, зарегистрирована как CVE-2024-29988, описана как уязвимость обхода функции безопасности запроса SmartScreen и вызвана недостатком механизма защиты.

CVE-2024-29988 является обходом для уязвимости CVE-2024-21412 и была раскрыта Питером Гирнусом (Peter Girnus) из Zero Day Initiative компании Trend Micro и Дмитрием Ленцом и Владом Столяровым из группы анализа угроз Google.

Руководитель отдела осведомленности о угрозах ZDI Дастин Чайлдс (Dustin Childs) отметил, что эта уязвимость активно использовалась в атаках для развертывания вредоносного ПО на целевых системах Windows после обхода обнаружения EDR/NDR и функции Mark of the Web (MotW).

Чайлдс пояснил:

Эта уязвимость связана с CVE-2024-21412, которая была обнаружена исследователями угроз ZDI в реальных атаках и впервые была исправлена в феврале.

Первое исправление не полностью решило проблему. Это обновление устраняет вторую часть цепочки эксплуатации. Microsoft не указала, что они исправляют эту уязвимость, поэтому доступность патча стала приятным сюрпризом.

Коммерческая хакерская группировка Water Hydra, эксплуатирующая CVE-2024-29988, также использовала CVE-2024-21412 как уязвимость «нулевого дня» в канун нового года для атаки на форумы по торговле на Форекс и каналы торговли акциями в Telegram через атаки типа «spearphishing», в результате которых развертывался троян удаленного доступа (RAT) DarkMe.

CVE-2024-21412 представляет собой обход для другой уязвимости Defender SmartScreen, зарегистрированной как CVE-2023-36025, исправленной во «Вторник Патчей» в ноябре 2023 года и эксплуатировавшейся как уязвимость «нулевой дня» для распространения вредоносного ПО Phemedrone.

9 апреля 2024 года в рамках «Вторника Патчей» Microsoft выпустила обновления безопасности для 150 уязвимостей, 67 из которых были ошибками удаленного выполнения кода.

Компания Microsoft исправила две активно используемые уязвимости «нулевого дня» в рамках «Вторника Патчей» (Patch Tuesday), 9 апреля 2024 года, хотя изначально компания не обозначила их как таковые.
Более половины уязвимостей удаленного выполнения кода обнаружены в драйверах Microsoft SQL.

Также выпущены исправления для 26 уязвимостей обходов защиты Secure Boot, включая две уязвимости от Lenovo.

Классификация уязвимостей по типу:

31 уязвимость повышения привилегий
29 уязвимости обхода функций безопасности
67 уязвимостей удаленного выполнения кода
13 уязвимостей раскрытия информации
7 уязвимостей отказа в обслуживании
3 уязвимости спуфинга
В общее количество исправленных проблем не входят 5 уязвимостей Microsoft Edge, исправленных 4 апреля. Также исправлены две уязвимости в открытом дистрибутиве Linux Mariner, который используется для сервисов Microsoft Azure.

Для установки доступны следующие обновления:

Windows
Обновление KB5036892 (Build 19045.4291) для Windows 10, версия 22H2
Обновление KB5036893 (Build 22631.3447) для Windows 11, версия 23H2
Обновление KB5036893 (Build 22621.3447) для Windows 11, версия 22H2
Обновление KB5036894 (Build 22000.2836) для Windows 11, версия 21H2
Обновление KB5036892 (Build 19044.4291) для Windows 10 LTSC 2021, версия 21H2
Обновление KB5036896 (Build 17763.5696) для Windows 10 LTSC 2019, версия 1809
Windows Server
Обновление KB5036910 (OS Build 25398.830) для Windows Server, версия 23H2
Обновление KB5036909 (OS Build 20348.2402) для Windows Server 2022 (21H2 LTSC)
Обновление KB5036896 (OS Build 17763.5696) для Windows Server 2019 (1809 LTSC)
Обновление KB5036899 (OS Build 14393.6897) для Windows Server 2016 (1607 LTSC)

Устранены две уязвимости «нулевого дня»
В этом месяце в рамках ежемесячного обновления безопасности Microsoft были исправлены две уязвимости "нулевого дня", активно эксплуатируемые в атаках с использованием вредоносного ПО.

Изначально Microsoft не отметила эти уязвимости как активно эксплуатируемые, однако компании Sophos и Trend Micro поделились информацией о том, как они использовались в атаках.

Ниже приведено краткое описание уязвимостей с более подробной информацией, представленной в отдельной статье.

CVE-2024-26234 – Уязвимость подмены драйвера прокси-сервера

Sophos сообщила, что данной уязвимости присвоен идентификатор CVE, поскольку злонамеренный драйвер был подписан действительным сертификатом издателя аппаратного обеспечения Microsoft (Microsoft Hardware Publisher Certificate).

Драйвер использовался для развертывания бэкдора, ранее обнародованного компанией Stairwell.

Руководитель группы Кристофер Бадд рассказал BleepingComputer, что ранее сообщенные Microsoft драйверы не получали идентификатор CVE, вместо этого Microsoft публиковала советы по безопасности.

Пока неясно, почему идентификатор CVE был выдан сегодня для этого драйвера, если не из-за того, что он подписан действительным сертификатом издателя аппаратного обеспечения Microsoft.

CVE-2024-29988 – Уязвимость обхода защиты при взаимодействии с запросом SmartScreen

CVE-2024-29988 представляет собой обход исправления для уязвимости CVE-2024-21412 (которая, в свою очередь, является обходом исправления для CVE-2023-36025), позволяющий вложениям обходить запросы Microsoft Defender SmartScreen при открытии файла.

Этот метод использовалась хакерской группой Water Hydra с финансовой мотивацией для атак на форумы по торговле на Форекс и каналы торговли акциями в Telegram с использованием спирфишинга, в результате которых распространялся троян для удаленного доступа DarkMe (RAT).

Исследователи из Varonis раскрыли две уязвимости «нулевого дня» в Microsoft SharePoint, которые усложняют обнаружение скачивания файлов с серверов.

Техника №1: Метод открытия в приложении

Первая техника использует код, активирующий функцию «открыть в приложении» в SharePoint для доступа и скачивания файлов, оставляя в журнале аудита файла только событие доступа. Этот метод может быть выполнен вручную или автоматизирован через скрипт PowerShell, позволяя быстро экспортировать множество файлов.

Техника №2: User-Agent SkyDriveSync

Вторая техника использует User-Agent для Microsoft SkyDriveSync для скачивания файлов или даже целых сайтов, неправильно маркируя события как синхронизацию файлов вместо скачивания.

Microsoft не присвоила идентификаторы CVE этим двум проблемам безопасности, и они были добавлены в очередь на исправление без указания точных сроков.

Обновления от других компаний
Компания Cisco выпустила обновления безопасности для нескольких продуктов.
D-Link раскрыла новые уязвимости в неподдерживаемых устройствах NAS, и теперь подтверждено, что они активно эксплуатируются. Эти уязвимости не будут исправлены.
Google исправила две уязвимости «нулевого дня» в Google Pixel и одну уязвимость «нулевого дня» в Google Chrome.
Новые уязвимости типа CONTINUATION Flood могут вызвать атаки отказа в обслуживании (DoS) через HTTP/2.
Компания Ivanti выпустила обновления безопасности для исправления трех уязвимостей VPN Gateway.
Дистрибутивы Linux вернулись к более ранним версиям XZ Utils после обнаружения бэкдора в результате атаки на цепочку поставок.
Были раскрыты новые уязвимости в LG WebOS, которые могут затронуть более 90 000 доступных Smart TV.
Компания SAP выпустила свои обновления в рамках апрельского дня патчей 2024 года.