Вторник исправлений: устранены четыре критические уязвимости

Во вторник обновлений системы Windows будут обновлены потоком исправлений безопасности. В ноябре Windows исправила четыре уязвимости нулевого дня, две из которых были использованы.

Вторники обновлений — это хорошее время для административных команд, чтобы напомнить сотрудникам о важности поддержания операционных систем и приложений в актуальном состоянии. Тем временем производители программного обеспечения, такие как Microsoft и Adobe, выявят проблемы и закроют бэкдоры.

Кроме того, как отметил XDA, внимательные пользователи Windows в этом месяце получили полезную новую опцию: переназначение клавиши Copilot. Это позволяет использовать кнопку AI для запуска выбранного вами приложения.

Microsoft исправляет две активно эксплуатируемые уязвимости

Microsoft устранила две уязвимости, которые уже использовали злоумышленники: CVE-2024-49039 и CVE-2024-43451.

Злоумышленник, запустивший заказное приложение, использовал ошибку в планировщике задач Windows, CVE-2024-49039, чтобы повысить свои привилегии до среднего уровня целостности. Оттуда он мог выполнять функции RPC для вызова процессов с удаленного компьютера.

СМ.: Ноябрьское обновление пакета Microsoft PowerToys для повышения качества жизни включает исправления ошибок, новый вид меню утилит и многое другое.

С помощью уязвимости CVE-2024-43451 злоумышленник может обманом заставить пользователя взаимодействовать с вредоносным файлом, а затем узнать хэш NTLMv2 этого пользователя и подделать его учетные данные.

«Чтобы оставаться полностью защищенными, мы рекомендуем клиентам, которые устанавливают обновления Security Only, установить накопительные обновления IE для этой уязвимости», — рекомендовала Microsoft.

Другие заметные уязвимости нацелены на домены и разрешения Windows.

Бен Маккарти, ведущий инженер по кибербезопасности в Immersive Labs, отметил CVE-2024-43639 как «одну из самых опасных CVE в этом выпуске исправления».

CVE-2024-43639 позволяет злоумышленникам выполнять код в домене Windows. Он исходит из Kerberos, протокола аутентификации.

«Домены Windows используются в большинстве корпоративных сетей, — сообщил Маккарти в электронном письме TechRepublic, — и, воспользовавшись уязвимостью криптографического протокола, злоумышленник может выполнять привилегированные действия на удаленной машине в сети, что потенциально дает ему в конечном итоге доступ к контроллеру домена, что является целью многих злоумышленников при атаке на домен».

Уязвимость повышения привилегий, CVE-2024-49019, возникла в некоторых сертификатах, созданных с использованием шаблона сертификата версии 1 в среде инфраструктуры открытых ключей. Microsoft заявила, что администраторам следует обращать внимание на сертификаты, в которых Источник имени субъекта установлен на «Предоставлено в запросе», а разрешения на регистрацию предоставляются более широкому набору учетных записей, например пользователям домена или компьютерам домена.

«Обычно это неправильная конфигурация, и сертификаты, созданные из шаблонов, таких как шаблон веб-сервера, могут быть затронуты», — сказал Маккарти. «Однако шаблон веб-сервера по умолчанию не уязвим из-за его ограниченных разрешений на регистрацию».

По словам Microsoft, наряду с установкой обновлений одним из способов смягчения этой уязвимости является отказ от применения слишком широких разрешений на регистрацию сертификатов.

Microsoft не обнаружила злоумышленников, использующих эту уязвимость. Однако «поскольку она связана с доменами Windows и широко используется в корпоративных организациях, очень важно исправить эту уязвимость и проверить на наличие неверных конфигураций, которые могли остаться», — сказал Маккарти.

Microsoft исправила четыре критические уязвимости

Четыре уязвимости в этом месяце были признаны критическими:

CVE-2024-43498, ошибка путаницы типов в приложениях .NET и Visual Studio, которая может позволить удаленное выполнение кода. CVE-2024-49056, уязвимость повышения привилегий на airlift.microsoft.com. CVE-2024-43625, уязвимость выполнения привилегий в среде выполнения хоста Hyper-V. CVE-2024-43639 подробно описана выше.

Полный список обновлений безопасности Windows от 12 ноября можно найти на сайте поддержки Microsoft.