Microsoft выпустила декабрьские плановые обновления безопасности
Во вторник, 8 декабря, состоялся последний в нынешнем году релиз плановых ежемесячных обновлений безопасности от Microsoft. Декабрьский набор патчей исправляет 58 уязвимостей, 9 из которых обозначены как критические. Уязвимости были исправлены в Microsoft Windows, Edge (на базе EdgeHTML), ChakraCore, Microsoft Office, Office Services и Web Apps, Exchange Server, Azure DevOps, Microsoft Dynamics, Visual Studio, Azure SDK и Azure Sphere. Как сообщили в Microsoft, ни одна из исправленных уязвимостей не эксплуатируется в атаках. Существуют ли для них доступные эксплоиты, неизвестно.
Шесть исправленных уязвимостей были обнаружены участниками программы Zero Day Initiative (ZDI). По мнению исследователя Дастина Чайлдса (Dustin Childs), отслеживающего исправления для уязвимостей, обнаруженных в рамках ZDI, пользователям Windows следует обратить пристальное внимание на следующие уязвимости:
CVE-2020-17132 - удаленное выполнение кода в Microsoft Exchange. Проблема была обнаружена сразу тремя исследователями, а значит, киберпреступникам также не составит труда ее найти. Microsoft не предоставила сценарий потенциальной атаки, но отметила, что атакующий должен быть авторизован. То есть, если ему удастся захватить контроль над почтовым ящиком пользователя, то он сможет взломать сервер Exchange.
CVE-2020-17121 - удаленное выполнение кода в Microsoft SharePoint. Уязвимость позволяет авторизованному пользователю выполнить на затронутом сервере произвольный код.NET в контексте учетной записи сервиса SharePoint Web Application. При настройках по умолчанию авторизованный атакующий может создавать сайты, обеспечивающие все необходимые для осуществления атаки разрешения.
CVE-2020-17095 - удаленное выполнение кода в Hyper-V. Уязвимость позволяет злоумышленнику повысить свои привилегии от выполнения кода в Hyper-V в качестве гостя до выполнения кода в Hyper-V в качестве хоста путем предоставления недействительных данных пакета vSMB. Для эксплуатации уязвимости никаких особых разрешений на гостевой ОС не требуется.
CVE-2020-16996 - обход функций безопасности в Kerberos. Патч исправляет уязвимость обхода функций безопасности в Kerberos, но так как Microsoft решила удалить аннотацию и предоставила только оценку по шкале CVSS, о каких конкретно функциях идет речь, неизвестно.
Пользователям также рекомендуется обратить внимание на уязвимость CVE-2020-17096 в Windows NTFS. С ее помощью удаленный злоумышленник с доступом к уязвимой системе по SMBv2 может отправить по сети специально созданные запросы и выполнить код на атакуемой системе.
Во втором полугодии 2020 года, за исключением октября и декабря, Microsoft ежемесячно исправляла более 110 уязвимостей в своих продуктах. В общей сложности в нынешнем году компания исправила более 1,2 тыс., что намного больше по сравнению с прошлым годом, когда была исправлена 851 уязвимость. Традиционно в декабре выпускается меньше патчей, чем в остальное время. Сохранится ли эта тенденция в 2021 году, еще предстоит увидеть.