Что такое нулевой день в Windows

Обновлено: 21.11.2024

ИТ-руководители начали год с ветерком в спину, опираясь на инвестиции, сделанные во время пандемии, и вновь сосредоточившись на .

Определения метавселенной различаются, как и прогнозы относительно того, когда она появится. Но умные ИТ-директора должны ознакомиться с .

Компании, привлекающие украинских программистов, работают над переводом сотрудников, желающих переехать. Технологические компании в долгосрочной перспективе могут .

Популярный пакет JavaScript был саботирован его разработчиком и содержал сообщения в поддержку Украины, что превратилось в .

Компания Trend Micro обнаружила, что ботнет Cyclops Blink, изначально нацеленный на устройства WatchGuard, теперь распространяется на Asus.

Таинственная группа вымогателей LokiLocker привлекла внимание исследователей BlackBerry, которые говорят, что эта группа может стать .

Cradlepoint и Extreme Networks объединят маршрутизаторы 5G первой компании с сетевой структурой второй для создания беспроводной глобальной сети 5G.

Израильский стартап OneLayer запустился незаметно с начальным финансированием в размере 8,2 млн долларов США и программной платформой для защиты Интернета вещей.

Российско-украинская война, которая затрагивает все, от инфляции до доступности чипов, оставила половину корпоративных технических лидеров.

Intel оптимистично настроена, что ее дорожная карта процессоров может вернуть компанию на первое место, но компания сталкивается со сложной перспективой .

Безопасность в центре обработки данных требует от организаций выявления и устранения различных факторов риска, от электрических систем до .

Недавние достижения в технологиях центров обработки данных и кадровых моделях отражают стремление организаций к повышению гибкости ИТ, .

Snowflake продолжает расширять предложения своей отраслевой вертикальной платформы, помогая пользователям из разных сегментов рынка собирать деньги.

Платформа RKVST поддерживает несколько типов приложений для работы с данными на блокчейне, включая безопасный обмен данными SBOM для обеспечения кибербезопасности.

Законы о конфиденциальности данных во всем мире постоянно меняются. Эти 10 элементов помогут организациям идти в ногу со временем .

Обновите свои домашние ПК, пользователи Windows, потому что там есть неприятная брешь в системе безопасности, которая уже используется в онлайн-атаках. Microsoft выпустила исправление для этой уязвимости во вчерашнем (14 декабря) раунде ежемесячных обновлений по вторникам.

Уязвимость нулевого дня, зарегистрированная как CVE-2021-43890, очевидно, используется киберпреступниками для распространения вредоносных программ, которые крадут конфиденциальную информацию с компьютеров и пытаются заставить вас звонить в поддельные службы технической поддержки. Windows 10 и Windows 11 одинаково уязвимы.

Недостаток возникает из-за проблемы с инструментом Windows App Installer, который также можно загрузить из интернет-магазина Microsoft Store.

«Microsoft известно об атаках, которые пытаются использовать эту уязвимость с помощью специально созданных пакетов, включающих семейство вредоносных программ, известных как Emotet/Trickbot/Bazaloader», — говорится в опубликованном бюллетене по безопасности.

"Злоумышленник может создать вредоносное вложение для использования в фишинговых кампаниях", — говорится в бюллетене. "Злоумышленник затем должен будет убедить пользователя открыть специально созданное вложение. Пользователи, чьи учетные записи имеют меньше прав пользователя в системе, могут быть менее затронуты, чем пользователи, которые работают с правами администратора."

Как защитить себя

Последнее предложение описывает одну из наименее известных, но наиболее эффективных мер безопасности, которые могут реализовать пользователи Windows. Если вы настроите свою обычную учетную запись Windows «ежедневный драйвер» в качестве «пользователя с ограниченными правами», который не может устанавливать или изменять программное обеспечение, вы подвергаетесь гораздо меньшему риску серьезного взлома вашего компьютера.

Ваша административная учетная запись может оставаться бездействующей. Даже если вам нужно что-то обновить, вы можете просто использовать пароль учетной записи администратора, чтобы сделать что-то без необходимости полного входа в систему.

В любом случае, чтобы обновить компьютер с Windows, нажмите значок Windows в левом нижнем углу экрана (или внизу по центру, если вы используете Windows 11), а затем значок шестеренки во всплывающем меню. Это приведет вас к экрану настроек Windows; нажмите «Обновление и безопасность», затем нажмите кнопку «Проверить наличие обновлений».

Если вы хотите, чтобы обновления устанавливались автоматически, нажмите «Дополнительные параметры», находясь на этой странице, и переключите соответствующую запись.

Вчера Microsoft исправила еще 66 уязвимостей в своих различных программных пакетах, в том числе пять других уязвимостей, которые также были классифицированы как уязвимости нулевого дня, поскольку о них стало известно до того, как исправления были готовы. Уязвимость, подробно описанная выше, является единственной из множества, которые, как мы знаем, уже используются.

Один из самых серьезных недостатков, не относящийся к нулевому дню, связан с удаленным выполнением кода — то есть взломом через Интернет для вас и меня — в Microsoft Office. В то время как ошибка установщика приложений имеет оценку серьезности 7,1 из 10, эта ошибка оценивается в 9,6.

Microsoft не предоставляет подробностей об этой уязвимости, по-видимому, потому, что софтверный гигант не хочет, чтобы кто-то выяснил, как использовать ее, прежде чем большинство людей сможет установить исправление.

Декабрьские обновления, выпущенные во вторник, устраняют шесть общеизвестных ошибок и семь критических уязвимостей в системе безопасности.

Microsoft устранила уязвимость нулевого дня, которая использовалась в реальных условиях для доставки Emotet, Trickbot и многого другого в виде поддельных приложений.

Семь из исправленных ошибок оцениваются как критические, шесть ранее были обнаружены как ошибки нулевого дня, а 60 считаются "важными".

В этом обновлении общее количество CVE, исправленных корпорацией Майкрософт в этом году, достигло 887, что на 29 % меньше, чем в очень загруженном 2020 году.

Нулевой день в дикой природе

Уязвимость нулевого дня (CVE-2021-43890) — это серьезная спуфинговая уязвимость в установщике Windows AppX, который представляет собой утилиту для загрузки неопубликованных приложений Windows 10, доступную в App Store.

Кевин Брин, директор по исследованию киберугроз в Immersive Labs, пояснил, что ошибка «позволяет злоумышленнику создать файл вредоносного пакета, а затем изменить его, чтобы он выглядел как законное приложение, и использовался для доставки вредоносного ПО Emotet. который вернулся в этом году».

Брин предупредил: «Это исправление должно означать, что пакеты больше нельзя подделать, чтобы они выглядели как действительные, но оно не помешает злоумышленникам отправлять ссылки или вложения на эти файлы».

По словам Сатнама Наранга, штатного инженера-исследователя в Tenable, до сегодняшнего исправления ошибка наблюдалась в нескольких атаках, связанных с Emotet, TrickBot и Bazaloader.

«Чтобы воспользоваться этой уязвимостью, злоумышленнику необходимо убедить пользователя открыть вредоносное вложение, что будет проведено с помощью фишинговой атаки», — пояснил он по электронной почте. «После эксплуатации уязвимость предоставляет злоумышленнику повышенные привилегии, особенно если учетная запись жертвы имеет административные привилегии в системе».

Если установка исправлений невозможна, корпорация Майкрософт предоставила несколько обходных путей для защиты от использования этой уязвимости.

Другие общеизвестные уязвимости Microsoft

Стоит отметить, что Microsoft также исправила CVE-2021-43883, уязвимость повышения привилегий в установщике Windows, для которой циркулировал эксплойт и, как сообщается, активные действия злоумышленников, хотя Microsoft заявила, что не видела эксплуатация.

«Похоже, это исправление для обхода CVE-2021-41379, еще одной уязвимости, связанной с несанкционированным получением прав, в установщике Windows, которая, как сообщается, была устранена в ноябре», — сказал Наранг. «Однако исследователи обнаружили, что исправление было неполным, и в конце прошлого месяца было обнародовано доказательство концепции».

Брин отметил, что уязвимости такого типа очень востребованы злоумышленниками, стремящимися проникнуть в сеть в горизонтальном направлении.

«После первоначального закрепления доступ на уровне администратора может позволить злоумышленникам отключить инструменты безопасности и развернуть дополнительные вредоносные программы или инструменты, такие как Mimikatz», — сказал он. «Почти во всех атаках программ-вымогателей за последний год использовалась та или иная форма повышения привилегий в качестве ключевого компонента атаки перед запуском программ-вымогателей».

Четыре других ошибки были отмечены как «общеизвестные», но не использованные, все они признаны важными и допускают повышение привилегий:

, короткое имя набора NTFS , шифрованная файловая система Windows (EFS) , управление устройствами Windows Mobile , диспетчер очереди печати Windows

Обновление не устраняет CVE-2021-24084, неисправленную уязвимость системы безопасности Windows, обнаруженную в конце ноября, которая может привести к раскрытию информации и локальному повышению привилегий (LPE).

Критические ошибки безопасности Microsoft за декабрь

CVE-2021-43215 на сервере iSNS

Первая критическая ошибка (CVE-2021-43215), которую необходимо устранить, позволяет выполнять удаленное выполнение кода (RCE) на сервере службы имен хранилищ в Интернете (iSNS), что обеспечивает автоматическое обнаружение и управление устройствами iSCSI в хранилище TCP/IP. сеть. Он оценивается в 9,8 из 10 по шкале серьезности уязвимости.

Согласно бюллетеню Microsoft, эту ошибку можно использовать, если злоумышленник отправит специально созданный запрос на уязвимый сервер.

«Другими словами, если вы используете сеть хранения данных (SAN) на своем предприятии, у вас либо есть сервер iSNS, либо вы настраиваете каждый из логических интерфейсов по отдельности, — говорит Дастин, исследователь Trend Micro Zero Day Initiative. Чайлдс, в блоге вторника. «Если у вас есть SAN, отдайте приоритет тестированию и развертыванию этого исправления».

Брин согласился с тем, что очень важно быстро устанавливать исправления, если организация использует сервисы iSNS.

«Помните, что это не компонент по умолчанию, поэтому проверьте его, прежде чем добавлять его в список», — сказал он по электронной почте. Однако, «поскольку этот протокол используется для облегчения хранения данных по сети, он будет приоритетной целью для злоумышленников, стремящихся подорвать способность организации восстанавливаться после таких атак, как программы-вымогатели. Этим службам также обычно доверяют с точки зрения сети, что является еще одной причиной, по которой злоумышленники выбирают такую цель».

CVE-2021-43907 в расширении WSL Visual Studio Code

«Этот затронутый компонент позволяет пользователям использовать подсистему Windows для Linux (WSL) в качестве постоянной среды разработки из Visual Studio Code», — пояснил Чайлдс. «Это позволяет вам разрабатывать в среде на основе Linux, использовать цепочки инструментов и утилиты для Linux, а также запускать и отлаживать приложения на основе Linux из Windows. Такая межплатформенная функциональность используется многими в сообществе DevOps».

CVE-2021-43899 — беспроводной видеоадаптер Microsoft 4K

Третья и последняя ошибка скорости 9,8 CVSS — CVE-2021-43899, которая также позволяет использовать RCE на уязвимом устройстве, если злоумышленник имеет плацдарм в той же сети, что и видеоадаптер Microsoft 4K. По словам Microsoft, эксплуатация заключается в отправке специально созданных пакетов на уязвимое устройство.

"Исправить это будет непросто", – сказал Чайлдс. «Для защиты пользователям необходимо установить приложение Microsoft Wireless Display Adapter из Microsoft Store на систему, подключенную к Microsoft 4K Wireless Display Adapter. Только после этого [они] смогут использовать раздел «Обновление и безопасность» приложения, чтобы загрузить последнюю версию встроенного ПО, чтобы устранить эту ошибку».

CVE-2021-43905 в Microsoft Office

Еще одна критическая ошибка RCE (CVE-2021-43905) существует в приложении Microsoft Office; ему присвоена оценка 9,6 по шкале серьезности уязвимостей CVSS, и Microsoft отметила его как «эксплуатацию с большей вероятностью».

"В рекомендациях очень мало информации для определения непосредственного риска. В нем просто указано, что затрагиваемый продукт называется "Приложение Office", – отмечает Брин. «Это может затруднить для специалистов по безопасности расстановку приоритетов или внедрение мер по устранению последствий, если быстрое исправление недоступно, особенно когда команды безопасности уже заняты другими критически важными исправлениями».

Однако Алекс Хаугом, исследователь Automox, сказал, что это должно быть приоритетом для установки исправлений.

«Из-за несложной уязвимости злоумышленник может ожидать повторяющихся результатов», — сказал он в анализе, проведенном во вторник. «Хотя Microsoft не раскрыла, какое именно взаимодействие с пользователем требуется для успеха злоумышленника, они подтвердили, что панель предварительного просмотра не является вектором атаки злоумышленника. Учитывая, что эта угроза может затронуть ресурсы, находящиеся за пределами области безопасности, управляемой органом безопасности, рекомендуется принять немедленные меры по исправлению».

CVE-2021-42310 в Microsoft Defender для Интернета вещей

Эта ошибка (CVE-2021-42310), одна из 10 проблем, обнаруженных в Defender для Интернета вещей, допускает RCE и оценивается в 8,1 по шкале CVSS.

«Запрос на сброс пароля состоит из подписанного документа JSON, сертификата подписи и промежуточного сертификата, который использовался для подписи сертификата подписи», — пояснил Чайлдс. «Предполагается, что промежуточный сертификат связан с корневым сертификатом CA, встроенным в устройство. Из-за недостатка в этом процессе злоумышленник может сбросить чужой пароль. Для исправления этих ошибок требуется, чтобы системный администратор принял меры на самом устройстве».

Другие девять ошибок в платформе включают семь других уязвимостей RCE, одну уязвимость, связанную с повышением привилегий, и одну уязвимость, связанную с раскрытием данных. Все они оцениваются как «важные».

CVE-2021-43217 в шифрованной файловой системе Windows (EFS)

Эта ошибка (CVE-2021-43217) допускает RCE и оценивает 8,1 по шкале CVSS.

"Злоумышленник может вызвать переполнение буфера, что приведет к выполнению кода без проверки подлинности вне изолированной программной среды, даже если служба EFS в это время не запущена", – пояснил Чайлдс. «Интерфейсы EFS могут инициировать запуск службы EFS, если она не запущена».

Джей Гудман в сообщении Automox отметил, что это может быть связано с публично раскрытой уязвимостью повышения привилегий в EFS и, таким образом, представляет особую угрозу.

"Несмотря на то, что любая из этих уязвимостей представляет собой серьезное раскрытие информации, требующее быстрой обработки, их сочетание в почти универсальном сервисе, имеющем решающее значение для обеспечения безопасности и защиты данных, создает уникальную ситуацию", – сказал он.«Атаки могут использовать комбинацию RCE с повышением привилегий для быстрого развертывания, повышения прав и выполнения кода в целевой системе с полными системными правами. Это может позволить злоумышленникам легко получить полный контроль над системой, а также создать базу операций в сети для последующего распространения».

Другими словами: это критически важная пара уязвимостей, которую необходимо устранить как можно скорее, чтобы свести к минимуму организационный риск.

CVE-2021-43233 в клиенте удаленного рабочего стола

Недостаток (CVE-2021-43233) допускает RCE и оценивает его как 7 по шкале CVSS. Он указан как «эксплуатация с большей вероятностью».

"Для этого... скорее всего, потребуется компонент социальной инженерии или фишинг", – объяснил Брин. «Похожая уязвимость CVE-2021-38666 была обнаружена и исправлена в ноябре. Хотя он также был помечен как «эксплуатация с большей вероятностью», к счастью, не было сообщений о коде, подтверждающем концепцию, или о его использовании в дикой природе, что показывает, насколько важно сделать свой собственный подход, основанный на риске. для определения приоритетов исправлений».

Исследователь Automox Джина Гейзель подчеркнула, что уязвимость очень сложна для эксплуатации.

«Чтобы воспользоваться этой уязвимостью, злоумышленнику требуется контроль над сервером, а затем он должен убедить пользователей подключиться к нему, например, с помощью социальной инженерии, отравления DNS или использования метода «человек посередине» (MITM). " она сказала. «Злоумышленник также может скомпрометировать законный сервер, разместить на нем вредоносный код и дождаться подключения пользователя».

Другие заметные ошибки Microsoft за декабрь

Чайлдс также пометил CVE-2021-42309, проблему RCE в Microsoft SharePoint Server, как уязвимость, требующую приоритетного внимания. Это позволяет злоумышленнику обойти ограничение запуска произвольных веб-элементов управления на стороне сервера.

«Эта уязвимость позволяет пользователю повышать права и выполнять код в контексте сервисного аккаунта», — пояснил он. «Злоумышленнику потребуются разрешения «Управление списками» на сайте SharePoint, но по умолчанию любой авторизованный пользователь может создать свой собственный новый сайт, на котором у него есть полные разрешения».

Он сказал, что проблема аналогична ранее исправленной CVE-2021-28474, за исключением того, что небезопасный элемент управления «пронесен контрабандой в свойство разрешенного элемента управления».

Ошибки операционной системы должны быть приоритетными, добавили исследователи.

"Раскрытие информации включает в себя функциональный пример в случае диспетчера очереди печати, доказательство концепции для уязвимостей NTFS и установщика Windows, поэтому есть некоторые причины срочно обновлять ОС в этом месяце", — Крис Геттл, вице-президент по управлению продуктами Ivanti, сказал Threatpost.

Создатели вредоносного ПО уже пытаются воспользоваться этой уязвимостью повышения привилегий.

(Фото: Windows/Unsplash)

Новая уязвимость Windows нулевого дня затрагивает все версии Windows, включая полностью исправленные установки Windows 11 и Windows Server 2022.

Джейсон Шульц (Jason Schultz), технический руководитель Talos Security Intelligence & Research Group, поделился подробностями об уязвимости, связанной с предыдущей ошибкой установщика Windows, которую, по мнению Microsoft, она исправила ранее в этом месяце (CVE-2021-41379). Исходная уязвимость позволяла пользователю с ограниченной учетной записью повышать свои привилегии и удалять целевые файлы в системе. Однако эта новая уязвимость выглядит более серьезной.

Исследователь по безопасности Абдельхамид Насери, которого Microsoft поблагодарила за помощь в примечаниях к исправлению CVE-2021-41379, провел анализ исправления и обнаружил, что «ошибка не была исправлена должным образом». Абдельхамид опубликовал подробности на GitHub и объяснил, почему этот вариант более мощный, чем исходный, поскольку он полностью обходит групповую политику, включенную в функцию административной установки Windows. Побочный эффект заключается в том, что злоумышленник может заменить любой исполняемый файл в системе файлом MSI и запустить код от имени администратора.

В настоящее время нет патча для исправления этой уязвимости, и образцы вредоносного ПО были обнаружены в дикой природе. Так что это известная уязвимость, и если она еще не используется, то будет довольно скоро. Абдельхамид считает, что единственное, что могут сделать пользователи, — это дождаться, пока Microsoft выпустит еще одно исправление безопасности из-за сложности уязвимости, и «любая попытка исправить двоичный файл напрямую приведет к поломке установщика Windows».