14.01.2020 11:18
Occul
 
Microsoft исправит чрезвычайно опасную уязвимость в Windows

Уязвимость затрагивает все версии Windows, выпущенные за последние двадцать лет.




Во вторник, 14 января, Microsoft выпустит исправление для чрезвычайно опасной уязвимости в криптографическом компоненте ядра, затрагивающей все версии Windows. По данным портала KrebsOnSecurity, компания уже разослала патчи оборонным предприятиям в США и другим особо важным клиентам, занятым в управлении ключевой инфраструктурой интернета, и попросила их подписать соглашение о неразглашении подробностей об уязвимости до первого в нынешнем году «вторника исправлений».

Как сообщают источники KrebsOnSecurity, уязвимость присутствует в модуле Windows под названием crypt32.dll, отвечающем за сертификаты и функцию обмена зашифрованными сообщениями в CryptoAPI. В свою очередь, CryptoAPI обеспечивает работу служб, позволяющих разработчикам защищать приложения для Windows с помощью шифрования, а также включает в себя функции шифрования и расшифровки данных с помощью цифровых сертификатов.

Критическая уязвимость в этом компоненте может нести угрозу безопасности для целого ряда важных функций Windows, в том числе для функции аутентификации на Windows-ПК и серверах, защиты конфиденциальных данных, обрабатываемых браузерами Microsoft Internet Explorer/Edge, а также для некоторых сторонних приложений и инструментов.

Уязвимость в crypt32.dll также может использоваться для спуфинга цифровой подписи, привязанной к определенному ПО. Таким образом, у злоумышленника появляется возможность выдавать вредоносное ПО за легитимное, выпущенное и подписанное легальным производителем.

Поскольку компонент crypt32.dll присутствует в Windows в течение уже двадцати лет, уязвимость затрагивает все версии ОС, начиная с Windows NT 4.0 (в том числе больше не поддерживаемую Windows XP).
27.01.2020 09:50
Occul
 
В настоящее время в Интернете доступно более 15 тыс. уязвимых RDP Gateway серверов.



Нидерландский исследователь, использующий псевдоним Ollypwn, опубликовал PoC-коды для двух критических уязвимостей (CVE-2020-0609 и CVE-2020-0610) в шлюзовом сервере удаленного рабочего стола Windows RD Gateway в Windows Server (2012, 2012 R2, 2016 и 2019).

Вышеупомянутые проблемы, получившие коллективное название BlueGate, представляют собой уязвимости предаутентификационного удаленного выполнения кода. Обе были исправлены Microsoft в рамках январского выпуска обновлений безопасности.

Согласно описанию техногиганта, «уязвимость проявляется при подключении неавторизованным пользователем к целевой системе по RDP и отправке специально сформированного пакета». Проблема затрагивает только транспортный уровень UDP (порт UDP 33910), а ее эксплуатация не требует взаимодействия с пользователем.

Опубликованные Ollypwn эксплоиты предоставляют возможность вызвать отказ в обслуживании на уязвимых системах. Кроме того, они также содержат встроенный сканер для проверки систем на наличие уязвимостей CVE-2020-0609 и CVE-2020-0610.

Известный эксперт Маркус Хатчинс (Marcus Hutchins) также предложил сканер для проверки систем на уязвимость. Отмечается, что инструмент являляется демонстрационным и не предназначен для широкого применения.

На данный момент нет информации о попытках эксплуатации вышеуказанных уязвимостей. Согласно результатам поиска Shodan, в настоящее время в Интернете доступно более 15 тыс. уязвимых RDP Gateway серверов. Для защиты от потенциальной эксплуатации эксперты рекомендуют установить соответствующие обновления либо отключить UDP или защитить порт UDP (порт 3391) межсетевым экраном.

Шлюз удаленных рабочих столов - решение для предоставления услуг виртуального рабочего стола внешним пользователям для доступа к внутренним ресурсам. RD Gateway способен защищать связь с клиентами через туннель SSL и может использовать HTTP или UDP в качестве транспортного уровня.
28.01.2020 17:12
Occul
 
Пользователи Windows 7 не получат патч для критической уязвимости в IE
Исправление для уязвимости получат лишь пользователи Windows 7, заплатившие за расширенную поддержку.

Спустя всего несколько дней после окончания официальной поддержки Windows 7 стало известно о критической уязвимости в Internet Explorer, и возник вопрос, получит ли устаревшая ОС исправление.

Как сообщает компания Microsoft, патч для уязвимости получат лишь пользователи Windows 7, заплатившие за расширенную поддержку , а пользователи домашней версии ОС останутся без обновления.

«Теперь, когда поддержка прекращена, пользователи без платной расширенной поддержки больше не будут получать обновления безопасности. Мы по-прежнему стремимся помогать нашим клиентам оставаться в безопасности по мере того, как они модернизируют свои системы и переходят на Windows 10. Мы понимаем, что, хотя мы и предоставляем достаточно времени для апгрейда, некоторым клиентам его все равно не хватает, поэтому мы предлагаем им несколько вариантов. Сервисы наподобие Microsoft FastTrack помогают ускорить миграцию, также можно воспользоваться службой “Виртуальный рабочий стол Windows” (включает трехлетнюю расширенную поддержку обновлений безопасности) или оформить платную расширенную поддержку. После даты окончания срока поддержки мы продолжим работать с нашими клиентами согласно наиболее подходящему курсу», - сообщили представители Microsoft порталу Beta News.

Напомним , 14 января нынешнего года Microsoft прекратила официальную поддержку Windows 7. Это значит, что компания больше не будет предоставлять техническую поддержку, обновления программного обеспечения, а также обновления безопасности и исправления для уязвимостей. 17 января стало известно об уязвимости нулевого дня в Internet Explorer (CVE-2020-0674). Уязвимость позволяет удаленно выполнить произвольный код на системе и уже эксплуатируется киберпреступниками в реальных атаках.

В настоящее время для проблемы выпущен только временный микропатч, доступный на платформе 0patch. Как уверяет администрация сервиса, в течение последующих трех лет она будет выпускать микропатчи для уязвимостей в Windows 7, так что пользователи не будут брошены на произвол судьбы.
11.03.2020 11:23
Occul
 
В преддверии мартовского «вторника исправлений» компании Microsoft в Сеть утекли данные о новой червеобразной уязвимости в протоколе Microsoft Server Message Block (SMB). Технические подробности не раскрываются, однако в блогах ИБ-компаний Cisco Talos и Fortinet было опубликовано короткое описание.

Исправление для новой уязвимости, получившей идентификатор CVE-2020-0796, не включено в мартовский набор обновлений безопасности Microsoft. Когда уязвимость будет исправлена, на данный момент неизвестно.

Как сообщают специалисты Fortinet, проблема представляет собой уязвимость переполнения буфера в SMB-серверах Microsoft и связана с ошибкой, возникающей при обработке уязвимым ПО сжатого пакета вредоносных данных. С ее помощью неавторизованный злоумышленник может удаленно выполнить произвольный код в контексте приложения.

Исследователи из Cisco Talos опубликовали похожее описание уязвимости, но затем удалили его. По их словам, «эксплуатация уязвимости делает системы уязвимыми к червеобразной атаке, способной с легкостью переходить от одного пользователя к другому».

Поскольку червеобразные уязвимости в SMB уже использовались в нашумевших атаках WannaCry и NotPetya в 2017 году, новость об очередной подобной проблеме отнюдь не обрадует системных администраторов. Однако, в отличие от 2017 года, на этот раз в Сеть утекло только краткое описание уязвимости, а не код эксплоита. Кроме того, уязвимость затрагивает не все версии Windows.

По данным Fortinet, уязвимости подвержена только версия протокола SMBv3, используемая в последних сборках Windows 10: Windows 10 v1903, Windows10 v1909, Windows Server v1903 и Windows Server v1909.

Как уже упоминалось выше, уязвимость не была исправлена с выходом ежемесячных обновлений безопасности Microsoft во вторник, 10 марта. Зато компания исправила другие 115 уязвимостей – рекордное количество за всю ее историю.

26 исправленных уязвимостей отмечены как критические. Наибольший интерес у авторов вредоносного ПО вызовет уязвимость в файлах LNK, получившая идентификатор CVE-2020-0684 . Уязвимость возникает при обработке операционной системой вредоносного файла LNK и позволяет злоумышленникам удаленно выполнить на системе произвольный код.
21.05.2020 10:50
Occul
 


Исследователи безопасности, работающие с организацией Zero Day Initiative (ZDI) компании Trend Micro, опубликовали информацию о пяти неисправленных уязвимостях в Microsoft Windows, четыре из которых являются опасными.

Три уязвимости ( CVE-2020-0916, CVE-2020-0986 и CVE-2020-0915 ) получили оценку в 7,0 балла по шкале CVSS, их эксплуатация позволяет злоумышленнику повысить привилегии на уязвимой системе и выполнить код в контексте текущего пользователя. Уязвимости были обнаружены в хост-процессе splwow64.exe пользовательского режима драйвера печати и связаны с тем, что введенные пользователем данные не проверяются должным образом до разыменования в качестве указателя. Тот же хост-процесс содержал уязвимость раскрытия информации (CVE-2020-0915), получившую оценку в 2,5 по шкале CVS.

Специалисты сообщили Microsoft о своих находках в декабре 2019 года, и компания намеревалась выпустить патч в рамках майского «вторника исправлений» 2020 года, но не успела этого сделать. Экспертам были представлены только бета-версии исправлений.

Последняя уязвимость (пока ей не присвоен идентификатор CVE), получившая оценку в 7,0 балла по шкале CVSS, позволяет злоумышленникам повышать привилегии и связана с обработкой профилей подключения WLAN. Создав вредоносный профиль, злоумышленник может раскрыть учетные данные учетной записи компьютера и использовать данную уязвимость для повышения привилегий и выполнения кода в контексте администратора.

Исследователи проинформировали Microsoft о данной проблеме в январе, но компания заявила, что не будет выпускать патч для уязвимости.
09.06.2020 11:38
Occul
 
CISA предупредило об атаках с использованием уязвимости SMBGhost
Операторы различных вредоносных программ использовали SMBGhost для удаленного выполнения кода.

Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США предупредило пользователей Windows о том, что недавно опубликованный PoC-эксплоит для «червеобразной» уязвимости в Windows 10 ( CVE-2020-0796 ) используется для осуществления атак.

SMBGhost, также известный как CoronaBlue, представляет собой уязвимость, затрагивающую версию сетевого протокола передачи данных Microsoft Server Message Block 3.1.1 (SMBv3). Уязвимость затрагивает ОС Windows 10 и Windows Server и может использоваться для DoS-атак, повышения локальных привилегий и выполнения произвольного кода на системе.

Для осуществления атак на SMB-серверы злоумышленнику необходимо отправить вредоносные пакеты на целевую систему. Преступник также должен обманом убедить жертву подключиться к вредоносному SMB-серверу.

Компания Microsoft сообщила об опасности уязвимости, а затем выпустила исправления и меры предотвращения эксплуатации уязвимости в марте нынешнего года. Исследователи начали публиковать PoC-эксплоиты для уязвимости вскоре после ее раскрытия, но они касались только DoS-атак или повышения привилегий. Несколько компаний и исследователей утверждали, что разработали PoC-коды для эксплуатации уязвимости, обеспечивающие удаленное выполнение кода, но ни один из них не был обнародован.

Однако на прошлой неделе исследователь, использующая псевдоним Chompie, опубликовала PoC-эксплоит для SMBGhost, позволяющий удаленно выполнить код. По словам Chompie, не является на 100% надежным и может привести к сбою в работе системы, однако несколько экспертов, протестировавших эксплоит, подтвердили, что удаленное выполнение кода можно осуществить.

CISA порекомендовало пользователям и администраторам установить исправления для SMBGhost и блокировать порты SMB с помощью межсетевого экрана и предупредило, что уязвимость в настоящее время эксплуатируется преступниками.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.