Обновляемся: Microsoft закрыла ряд критических уязвимостей

    Microsoft выпустила январские обновления безопасности. В этом месяце исправлено 83 уязвимости, 10 из которых критические, включая одну 0-day. Рассказываем, на какие из них стоит обратить особое внимание.

    image

    CVE-2021-1647 — 0-day Remote Code Execution уязвимость в Microsoft Defender. Суть ее в том, что злоумышленник может выполнить произвольный код, используя уязвимую библиотеку mpengine.dll, которая является компонентом Microsoft Defender. Уязвимые версии Defender находятся во всех версиях Windows, начиная с Windows Server 2008 и Windows 7. Как сообщает Microsoft, PoC доступен публично и уже были зафиксированы попытки эксплуатации уязвимости.

    Для ее исправления можно либо установить январские обновления безопасности, либо просто обновить Microsoft Defender до последней версии. Уязвимыми являются версии до 1.1.17600.5 включительно.

    CVE-2021-1648 — новая Elevation of Privileges уязвимость в splwow64, которая является следствием неудачного исправления для 0-day уязвимости CVE-2020-0986 в июне 2020 года. Выяснилось, что достаточно внести небольшие исправления в PoC для CVE-2020-0986, чтобы обойти исправления.

    Несмотря на то, что попыток эксплуатации уязвимости в атаках не зафиксировано, описание было опубликовано в конце декабря, поэтому обновиться стоит как можно скорее.

    CVE-2021-1658, CVE-2021-1660, CVE-2021-1666, CVE-2021-1667, CVE-2021-1673 — критические Remote Code Execution уязвимости в Remote Procedure Call Runtime, позволяющие злоумышленнику удаленно передавать команды и выполнять произвольный код через RPC.

    Информации о существующих публичных PoC, а также о подтвержденных попытках эксплуатации нет.

    Отдельно стоит отметить недавно обнаруженную 0-day Local Privilege Escalation уязвимость в PsExec, которая позволяет злоумышленнику получить системные привилегии. Уязвимыми являются все версии PsExec за последние 14 лет: от 1.72 до 2.2. Эксплуатация возможна во всех версиях Windows, начиная с Windows XP. Тем не менее, Microsoft никак не исправила уязвимость в январских обновлениях, а выпущенная в начале 2021 года новая версия PsExec 2.30 также является уязвимой после небольшой доработки PoC.

    Единственным существующим исправлением на данный момент является патч от 0patch, применимый только к последним версиям PsExec.

    Павел Зыков, аналитик угроз отдела расследования инцидентов JSOC CERT
    Ростелеком-Солар
    Безопасность по имени Солнце

    Комментарии 9

      0
      CVE-2021-1647 — 0-day Remote Code Execution уязвимость в Microsoft Defender

      в описании на сайте ms «Attack vector: Local». не понимаю.

        0
        Если совсем грубо: код запускается локально под правами пользователя, и через уязвимую библиотеку получает системные привилегии.
          0

          Так почему в названии cve стоит remote?

        +1
        Есть какая то злая ирония в дырявом антивирусе.
        А еще почему то вспоминается один из аргументов фанатиков 10. Что вот мол в 7 счас как найдут критическую уязвимость так и хана вам всем староверам, с намеком что в 10 ее не будет. Ага, как же… четырнадцатилетние баги передают пламенный привет.
          –1
          Давайте тогда вспомним о других злых ирониях- дырявые uefi, дырявые secure boot, дырявые фаерволлы, дырявые антивирусы, дырявый openssl, дырявый tpm, дырявые реализации алгоритмов шифрования, дырявые jail, дырявые виртуализации, позволяющие из гостя пробираться в dom0, даже дырявые процессоры. Ошибки в ПО были, есть и будут.
          И причём тут фанатизм? Вы считаете, что описанная ситуация невозможна? Вполне возможно что в 10-ке не будет уязвимостей из win 7, как и в linux kernel 5 наверняка нет уязвимостей, которые были в ветке 3.
          Дело не в этом. Дело в том, что никому не надо поддерживать и активно дорабатывать и исправлять баги в устаревшем ПО, коим и является windows 7.
            –2
            В дырявом uefi иронии нет, просто дырявый загрузчик. А вот антивирус который должен был бороться со злом, но примкнул к нему… это иронично.)
            Вы считаете, что описанная ситуация невозможна

            Возможно все, даже то что вы завтра проснетесь, а у вас пол поменялся. Вопрос верояности. Пока только застарелые баги вылазят. Петя тот же, теперь вот это… да много их, далеко за примером ходить не надо. Первая же публикация в блоке похожих.
              0

              1)Uefi это не просто загрузчик, этот «просто загрузчик» все оборудование инициализирует
              2)список остальных дырявых программ вы тихонько пропустили
              3)почитайте release notes к обновлениям win 2019, windows server, windows 10. Внезапно выяснится, что ваше утверждение, мягко говоря, не справедливо

          0

          Когда только знакомился с компами, будучи тем ещё школотроном, я всё не понимал, почему злоумышленник не может прикинуться сервером обновлений антивируса и таким образом захватить управление компом. Думал, вот вырасту, научусь, реализую свою идею и стану самым крутым хакером. Я очень расстроился, когда стал разбираться, как это работает… :(

            0

            Локальный пользователь может сам поменять себе и имя и пароль, ок, где уязвимость? Если надо что бы такого не было — используйте контроллер домена.

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое