Новости по обнаруженным уязвимостям в Microsoft Windows : Windows

Хотя компания Microsoft распространила действие своего патча для уязвимости PrintNightmare на Windows 10 (версия 1607), Windows Server 2012 и Windows Server 2016, оказалось, что его можно обойти и выполнить произвольный код на системе.

Во вторник, 6 июля, Microsoft выпустила внеплановое экстренное обновление безопасности для службы печати Windows Print Spooler. Уязвимость CVE-2021-34527 была случайно раскрыта гонконгской ИБ-компанией Sangfor в конце прошлого месяца, когда выяснилось, что проблема представляет собой отдельную уязвимость от CVE-2021-1675 , исправленной Microsoft 8 июня.

После выхода патча аналитик CERT/CC Уилл Дорманн (Will Dormann) предупредил , что он исправляет только вариант PrintNightmare, позволяющий удаленное выполнение кода (через SMB и RPC), но не вариант с повышениями привилегий, с помощью которого злоумышленники могут получить на уязвимом компьютере привилегии системы.

Как показало дальнейшее исследование, эксплоиты могут полностью обойти патч, локально повысить свои привилегии и удаленно выполнить код. Правда, для того чтобы это сделать, должна быть включена политика Windows «Ограничения на ввод и печать» (Параметры\Политики\Административные шаблоны\Принтеры: Ограничения на ввод и печать).

«Обратите внимание на то, что обновление Microsoft для CVE-2021-34527 не предотвращает эксплуатацию систем, где Point and Print NoWarningNoElevationOnInstall установлен на 1», - сообщил Дорманн.

Microsoft призвала пользователей как можно скорее обновить инструмент PowerShell в связи с наличием уязвимости удаленного выполнения кода в .NET Core.

PowerShell представляет собой расширяемое средство автоматизации с открытым исходным кодом, состоящее из оболочки с интерфейсом командной строки и сопутствующего языка сценариев.

Уязвимость ( CVE-2021-26701 ) затрагивает версии PowerShell 7.0 и 7.1. Проблема исправлена с выпуском версий 7.0.6 и 7.1.3 соответственно. Версия PowerShell 5.1 уязвимости не подвержена.

Как указывается в описании Microsoft, уязвимость существует в .NET 5 и .NET Core (в частности, в пакете System.Text.Encodings.Web) из-за некорректного осуществления кодировки текста. Уязвимыми являются следующие версии System.Text.Encodings.Web: 4.0.0 - 4.5.0, 4.6.0-4.7.1, 5.0.0.

Отметим, что CVE-2021-26701 была исправлена еще в начале нынешнего года в рамках февральского «вторника исправлений». Учитывая отсутствие других мер по предотвращению эксплуатации уязвимости, помимо установки обновления, пользователям настоятельно рекомендуется обновиться до последних версий PowerShell во избежание возможных атак.

Обратите внимание, что проблемы с уязвимостями Диспетчера печати не решены до сих пор.

Microsoft выпустила уведомление о новой уязвимости в Print Spooler (CVE-2021-36958), которая позволяет локальным злоумышленникам получить системные привилегии на компьютере. Новая уязвимость связана с другими ошибками типа PrintNightmare, которые строятся на злоупотреблении параметрами конфигурации Print Spooler, драйверов печати и функции Windows Point and Print.

Разработчики Microsoft уже выпускали патчи для PrintNightmare в июле и августе, однако проблема, исходно обнаруженная исследователем Бенджамином Делпи, по-прежнему позволяет злоумышленникам быстро получать привилегии уровня System, просто подключившись к удаленному серверу печати.

Теперь Microsoft выпустила уведомление безопасности, сообщив о новой уязвимости в Print Spooler, которая отслеживается как CVE-2021-36958.

Плохая новость для владельцев ОС Windows: все версии, включая Windows 10, Windows 11 и Windows Server 2022, подвержены новой 0-day уязвимости LPE.

Раскрыты технические подробности незащищенной уязвимости Windows, а также PoC, который позволяет повысить привилегии до SYSTEM при определенных условиях.

CVE-2021-34484

Это как раз фигня, почти теоретическая уязвимость, которую почти нереально использовать на практике. Вот со спулером "дыра" гораздо более серьёзной выглядит, её по сути так и не залатали. Ещё вылезет, и неоднократно.

Исследователь в области кибербезопасности из компании SentinelOne обнаружил опасную уязвимость в Защитнике Windows. Ее эксплуатация позволяет злоумышленникам узнать места на системе, исключенные из сканирования антивирусным решением, и разместить там вредоносное ПО.

По словам некоторых пользователей, проблема существует уже как минимум восемь лет и затрагивает версии Windows 10 21H1 и Windows 10 21H2.

Как и любое антивирусное решение, Microsoft Defender позволяет добавлять местоположения (локальные или сетевые) в своих системах, которые следует исключить из сканирования на наличие вредоносных программ. Обычно такие исключения нужны для того, чтобы антивирусное ПО не влияла на функциональность легитимных приложений, которые ошибочно определяются как вредоносные программы.

Поскольку список исключений сканирования отличается от одного пользователя к другому, данная информация крайне полезна для злоумышленников. Преступники могут расположить вредоносные файлы в безопасных местах, не опасаясь быть обнаруженными.

Как отметил ИБ-эксперт, любой локальный пользователь может получить доступ к списку местоположений, исключенных из сканирования Защитником Windows. Данная информация никак не защищена и запуск команды reg query раскрывает все исключения для сканирования, будь то файлы, папки, расширения или процессы.

Проблема проявляется в 7-Zip исключительно в версии для Windows. Пользователей других ОС, включая Linux и macOS, данная уязвимость не затрагивает.

Брешь получила индекс CVE-2022-29072. Она присутствует во всех актуальных версиях архиватора, в том числе 21.х. На момент публикации материала патч, устраняющий ее, отсутствовал – последняя стабильная сборка 7-Zip вышла в конце декабря 2021 г. и имеет индекс 21.07.

Со слов разработчиков, во всем виноват вовсе не сам 7-Zip, а сторонний процесс Microsoft HTML Helper, он же hh.exe. Исследователи, а также обнаруживший брешь пользователь GitHub Kagancapar считают, что hh.exe если и участвует в эксплуатации уязвимости, то лишь очень косвенно.

Использовать брешь CVE-2022-29072 киберпреступники могут при помощи специального файла формата .7z – это расширение архивных файлов, с которыми по умолчанию работает 7-Zip. Для этого достаточно лишь перенести данный файл в область графического интерфейса архиватора с подсказкой, отображаемой при открытии подменю Contents в меню помощи (Help).

Здесь начинает сбоить процесс 7zFM.exe, в котором возникает переполнение буфера. Также, со слов исследователей, в архиваторе неверно настроены права использования библиотеки 7z.dll. В совокупности все это и дает хакерам возможность получить на ПК жертвы права администратора.

Выход из ситуации на деле очень прост и не требует от пользователей значительных усилий или углубленных знаний. От них требуется лишь удалить файл со справкой, расположенный в установочном каталоге самого архиватора и называющийся 7-zip.chm

В Microsoft Office обнаружена уязвимость нулевого дня

— Исследователь кибербезопасности Nao_sec обнаружил вредоносный документ Word 05-2022-0438.doc, который был загружен на VirusTotal пользователем из Беларуси.

— «В документе используется функция удаленного шаблона Word для извлечения HTML-файла с удаленного сервера, который использует URI схему ms-msdt MSProtocol для загрузки кода и выполнения скриптов PowerShell», - написал Бомонт в отчете.

— Microsoft Word выполняет код через инструмент поддержки ms-msdt даже при отключённых макросах.

CVE-2023-21716(Microsoft Word RCE vuln) Python PoC

можете развлечь коллег...

Вызов синего экрана смерти при помощи браузера

Чтобы открыть синей экран смерти:
1. Открываем бразуер с ПК

2. В адресную строку вставляем даннoe слово и переходим по нему:
Для теста можете использовать Windows 10 на виртуальной машине. Баг работает только на Windows 10.