Последний «вторник обновлений» в этом году принес патчи для 49 уязвимостей в продуктах Microsoft. В числе прочего, разработчики исправили две уязвимости нулевого дня, одна из которых уже использовалась злоумышленниками.

Среди 49 исправленных в этом месяце багов шесть были классифицированы как «критические», поскольку допускают удаленное выполнение кода. Среди других уязвимостей:

  • 19 проблем повышения привилегий;
  • 2 проблемы, связанные с обходом защитных функций;
  • 23 проблемы удаленного выполнения кода;
  • 3 проблемы связаны с раскрытием информации;
  • 3 проблемы связаны отказом в обслуживании;
  • 1 проблема допускает спуфинг.

Что касается 0-day уязвимостей, наиболее опасной из них стала CVE-2022-44698 (5,4 балла по шкале оценки уязвимостей CVSS), связанная с обходом защитной функции Windows SmartScreen, и обнаруженная известным ИБ-экспертом Уиллом Дорманном (Will Dormann).

«Злоумышленник может создать вредоносный файл и с его помощью обойти защиту Mark of the Web (MOTW), что приведет к ограниченной потере целостности и доступности таких защитных механизмов, как Protected View в Microsoft Office, которые полагаются на метки MOTW», — объясняют специалисты.

Злоумышленники уже эксплуатировали эту уязвимость, создавая вредоносные файлы JavaScript, подписанные с использованием искаженной подписи. Благодаря этому SmartCheck сообщал об ошибке и не отображал предупреждения Mark of the Web, что позволяло запускать вредоносные скрипты и автоматически устанавливать малварь. Известно, что хакеры злоупотребляли этим багом для распространения трояна QBot и вымогателя Magniber.

Стоит сказать, что Уилл Дорманн писал в Twitter об уязвимостях такого типа начиная с июля текущего года. Вероятно, новый баг связан с другой MOTW-ошибкой, которую Microsoft исправила в прошлом месяце.

Вторая 0-day уязвимость этого месяца, CVE-2022-44710 (7,8 балла по шкале оценки уязвимостей CVSS), представляет собой уязвимость графического ядра DirectX, связанную с повышением привилегий и обнаруженную ИБ-экспертом Лукой Прибаничем (Luka Pribanić).

Сообщается, что атакующий, успешно воспользовавшийся этой уязвимостью, может получить привилегии уровня SYSTEM.

Также на этой неделе обновления для своих продуктов выпустили и другие компании:

  • Adobe исправила 37 багов в своих решениях, включая Illustrator, Experience Managerи Campaign Classic. Ни одна из уязвимостей не использовалась хакерами.
  • SAP выпустила 22 исправления. Самая серьезная проблема (Security Note 2622660) получила 10 балов из 10 возможных по шкале CVSS и представляет собой обновление для патча от апреля 2018 года, которое исправляет Google Chromium, поставляемый в составе SAP Business Client.
  • VMware опубликовала два критически важных бюллетеня безопасности и еще один, который считается важным. В частности, исправлен баг CVE-2022-31705 — критическая уязвимость записи за пределы хипа в VMware ESXi, Workstation и Fusion (9,3 балла по шкале CVSS).
  • Cisco исправила ряд уязвимостей, включая «дыру» в веб-интерфейсе Cisco Identity Services Engine (ISE), CVE-2022-20822 (7,1 балл по шкале CVSS). Баг позволял аутентифицированному злоумышленнику просматривать, загружать и удалять файлы на зараженном устройстве.
  • Citrix выпустила обновление для критической и активно эксплуатируемой RCE-уязвимости в Citrix ADA и Gateway.
  • Fortinet представила патч для уязвимости SSL-VPN в FortiOS, так же находившейся под атаками.

Источник: xakep