14.01.2020 11:18
Occul
 
Microsoft исправит чрезвычайно опасную уязвимость в Windows

Уязвимость затрагивает все версии Windows, выпущенные за последние двадцать лет.




Во вторник, 14 января, Microsoft выпустит исправление для чрезвычайно опасной уязвимости в криптографическом компоненте ядра, затрагивающей все версии Windows. По данным портала KrebsOnSecurity, компания уже разослала патчи оборонным предприятиям в США и другим особо важным клиентам, занятым в управлении ключевой инфраструктурой интернета, и попросила их подписать соглашение о неразглашении подробностей об уязвимости до первого в нынешнем году «вторника исправлений».

Как сообщают источники KrebsOnSecurity, уязвимость присутствует в модуле Windows под названием crypt32.dll, отвечающем за сертификаты и функцию обмена зашифрованными сообщениями в CryptoAPI. В свою очередь, CryptoAPI обеспечивает работу служб, позволяющих разработчикам защищать приложения для Windows с помощью шифрования, а также включает в себя функции шифрования и расшифровки данных с помощью цифровых сертификатов.

Критическая уязвимость в этом компоненте может нести угрозу безопасности для целого ряда важных функций Windows, в том числе для функции аутентификации на Windows-ПК и серверах, защиты конфиденциальных данных, обрабатываемых браузерами Microsoft Internet Explorer/Edge, а также для некоторых сторонних приложений и инструментов.

Уязвимость в crypt32.dll также может использоваться для спуфинга цифровой подписи, привязанной к определенному ПО. Таким образом, у злоумышленника появляется возможность выдавать вредоносное ПО за легитимное, выпущенное и подписанное легальным производителем.

Поскольку компонент crypt32.dll присутствует в Windows в течение уже двадцати лет, уязвимость затрагивает все версии ОС, начиная с Windows NT 4.0 (в том числе больше не поддерживаемую Windows XP).
27.01.2020 09:50
Occul
 
В настоящее время в Интернете доступно более 15 тыс. уязвимых RDP Gateway серверов.



Нидерландский исследователь, использующий псевдоним Ollypwn, опубликовал PoC-коды для двух критических уязвимостей (CVE-2020-0609 и CVE-2020-0610) в шлюзовом сервере удаленного рабочего стола Windows RD Gateway в Windows Server (2012, 2012 R2, 2016 и 2019).

Вышеупомянутые проблемы, получившие коллективное название BlueGate, представляют собой уязвимости предаутентификационного удаленного выполнения кода. Обе были исправлены Microsoft в рамках январского выпуска обновлений безопасности.

Согласно описанию техногиганта, «уязвимость проявляется при подключении неавторизованным пользователем к целевой системе по RDP и отправке специально сформированного пакета». Проблема затрагивает только транспортный уровень UDP (порт UDP 33910), а ее эксплуатация не требует взаимодействия с пользователем.

Опубликованные Ollypwn эксплоиты предоставляют возможность вызвать отказ в обслуживании на уязвимых системах. Кроме того, они также содержат встроенный сканер для проверки систем на наличие уязвимостей CVE-2020-0609 и CVE-2020-0610.

Известный эксперт Маркус Хатчинс (Marcus Hutchins) также предложил сканер для проверки систем на уязвимость. Отмечается, что инструмент являляется демонстрационным и не предназначен для широкого применения.

На данный момент нет информации о попытках эксплуатации вышеуказанных уязвимостей. Согласно результатам поиска Shodan, в настоящее время в Интернете доступно более 15 тыс. уязвимых RDP Gateway серверов. Для защиты от потенциальной эксплуатации эксперты рекомендуют установить соответствующие обновления либо отключить UDP или защитить порт UDP (порт 3391) межсетевым экраном.

Шлюз удаленных рабочих столов - решение для предоставления услуг виртуального рабочего стола внешним пользователям для доступа к внутренним ресурсам. RD Gateway способен защищать связь с клиентами через туннель SSL и может использовать HTTP или UDP в качестве транспортного уровня.
28.01.2020 17:12
Occul
 
Пользователи Windows 7 не получат патч для критической уязвимости в IE
Исправление для уязвимости получат лишь пользователи Windows 7, заплатившие за расширенную поддержку.

Спустя всего несколько дней после окончания официальной поддержки Windows 7 стало известно о критической уязвимости в Internet Explorer, и возник вопрос, получит ли устаревшая ОС исправление.

Как сообщает компания Microsoft, патч для уязвимости получат лишь пользователи Windows 7, заплатившие за расширенную поддержку , а пользователи домашней версии ОС останутся без обновления.

«Теперь, когда поддержка прекращена, пользователи без платной расширенной поддержки больше не будут получать обновления безопасности. Мы по-прежнему стремимся помогать нашим клиентам оставаться в безопасности по мере того, как они модернизируют свои системы и переходят на Windows 10. Мы понимаем, что, хотя мы и предоставляем достаточно времени для апгрейда, некоторым клиентам его все равно не хватает, поэтому мы предлагаем им несколько вариантов. Сервисы наподобие Microsoft FastTrack помогают ускорить миграцию, также можно воспользоваться службой “Виртуальный рабочий стол Windows” (включает трехлетнюю расширенную поддержку обновлений безопасности) или оформить платную расширенную поддержку. После даты окончания срока поддержки мы продолжим работать с нашими клиентами согласно наиболее подходящему курсу», - сообщили представители Microsoft порталу Beta News.

Напомним , 14 января нынешнего года Microsoft прекратила официальную поддержку Windows 7. Это значит, что компания больше не будет предоставлять техническую поддержку, обновления программного обеспечения, а также обновления безопасности и исправления для уязвимостей. 17 января стало известно об уязвимости нулевого дня в Internet Explorer (CVE-2020-0674). Уязвимость позволяет удаленно выполнить произвольный код на системе и уже эксплуатируется киберпреступниками в реальных атаках.

В настоящее время для проблемы выпущен только временный микропатч, доступный на платформе 0patch. Как уверяет администрация сервиса, в течение последующих трех лет она будет выпускать микропатчи для уязвимостей в Windows 7, так что пользователи не будут брошены на произвол судьбы.
11.03.2020 11:23
Occul
 
В преддверии мартовского «вторника исправлений» компании Microsoft в Сеть утекли данные о новой червеобразной уязвимости в протоколе Microsoft Server Message Block (SMB). Технические подробности не раскрываются, однако в блогах ИБ-компаний Cisco Talos и Fortinet было опубликовано короткое описание.

Исправление для новой уязвимости, получившей идентификатор CVE-2020-0796, не включено в мартовский набор обновлений безопасности Microsoft. Когда уязвимость будет исправлена, на данный момент неизвестно.

Как сообщают специалисты Fortinet, проблема представляет собой уязвимость переполнения буфера в SMB-серверах Microsoft и связана с ошибкой, возникающей при обработке уязвимым ПО сжатого пакета вредоносных данных. С ее помощью неавторизованный злоумышленник может удаленно выполнить произвольный код в контексте приложения.

Исследователи из Cisco Talos опубликовали похожее описание уязвимости, но затем удалили его. По их словам, «эксплуатация уязвимости делает системы уязвимыми к червеобразной атаке, способной с легкостью переходить от одного пользователя к другому».

Поскольку червеобразные уязвимости в SMB уже использовались в нашумевших атаках WannaCry и NotPetya в 2017 году, новость об очередной подобной проблеме отнюдь не обрадует системных администраторов. Однако, в отличие от 2017 года, на этот раз в Сеть утекло только краткое описание уязвимости, а не код эксплоита. Кроме того, уязвимость затрагивает не все версии Windows.

По данным Fortinet, уязвимости подвержена только версия протокола SMBv3, используемая в последних сборках Windows 10: Windows 10 v1903, Windows10 v1909, Windows Server v1903 и Windows Server v1909.

Как уже упоминалось выше, уязвимость не была исправлена с выходом ежемесячных обновлений безопасности Microsoft во вторник, 10 марта. Зато компания исправила другие 115 уязвимостей – рекордное количество за всю ее историю.

26 исправленных уязвимостей отмечены как критические. Наибольший интерес у авторов вредоносного ПО вызовет уязвимость в файлах LNK, получившая идентификатор CVE-2020-0684 . Уязвимость возникает при обработке операционной системой вредоносного файла LNK и позволяет злоумышленникам удаленно выполнить на системе произвольный код.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.