Октябрьские патчи компании Microsoft исправляют более 100 уязвимостей (не считая 18 уязвимостей в браузере Edge), среди которых три 0-day ошибки, которые уже подвергались атакам.
В общей сложности в этом месяце было устранено 45 RCE-уязвимостей, допускающих удаленное выполнение произвольного кода, но только 12 из них Microsoft оценивает как критические.
Сообщается, что информация о двух из трех 0-day уязвимостей была раскрыта еще до выхода патчей (CVE-2023-41763 и CVE-2023-36563). Кроме того, известно, что все эти проблемы уже применялись злоумышленниками для атак:
CVE-2023-41763 — уязвимость в Skype для бизнеса, связанная с несанкционированным повышением привилегий.
Эту проблему обнаружил доктор Флориан Хаузер (Florian Hauser), который сообщил изданию Bleeping Computer, что это та же самая уязвимость, которую он раскрыл еще в сентябре 2022 года, однако тогда Microsoft отказалась ее исправлять.
CVE-2023-36563 — уязвимость в Microsoft WordPad, связанная с раскрытием информации. Эта проблема могла использоваться для кражи NTLM-хэшей при открытии документа в WordPad. Затем эти хэши можно было взломать или использовать в атаках типа NTLM Relay для получения доступа к учетным записям.
Эта уязвимость была обнаружена внутри компании, исследователями из команды Microsoft Threat Intelligence и, похоже, она является ответвлением проблемы CVE-2023-36761, исправленной в прошлом месяце.
CVE-2023-44487 — уязвимость, связанная с проблемой HTTP/2 Rapid Reset, о которой мы уже рассказывали подробно. Напомним, что этот баг в протоколе HTTP/2 позволяет проводить мощные DDoS-атаки, из-за чего Amazon Web Services (AWS), Cloudflare и Google отчитались о новых антирекордах в этой области.
Благодаря этой уязвимости в протоколе HTTP/2, мощность атак, направленных на облачную инфраструктуру Google, достигла 398 млн запросов в секунду (requests per second, RPS), а атаки направленные на AWS и Cloudflare, превысили 155 млн и 201 млн запросов в секунду. Для сравнения, прошлый рекорд составлял 71 млн запросов в секунду и был зафиксирован в начале 2023 года.
Также Microsoft исправила баги, затрагивающие широкий спектр других продуктов, включая Windows и различные компоненты операционной системы (Exchange Server, Microsoft Office, Visual Studio, ASP.NET Core, Microsoft Dynamics и Message Queuing).
Особенно много проблем оказалось связано именно с технологией Microsoft Message Queuing: ей в этом месяце посвящено 20 отдельных бюллетеней безопасности. По данным аналитиков Trend Micro Zero Day Initiative, одна из этих проблем (CVE-2023-35349) получила оценку 9,8 балла из 10 возможных по шкале CVSS и в некоторых случаях может использоваться червями.
В общей сложности в этом месяце было устранено 45 RCE-уязвимостей, допускающих удаленное выполнение произвольного кода, но только 12 из них Microsoft оценивает как критические.
Сообщается, что информация о двух из трех 0-day уязвимостей была раскрыта еще до выхода патчей (CVE-2023-41763 и CVE-2023-36563). Кроме того, известно, что все эти проблемы уже применялись злоумышленниками для атак:
CVE-2023-41763 — уязвимость в Skype для бизнеса, связанная с несанкционированным повышением привилегий.
Эту проблему обнаружил доктор Флориан Хаузер (Florian Hauser), который сообщил изданию Bleeping Computer, что это та же самая уязвимость, которую он раскрыл еще в сентябре 2022 года, однако тогда Microsoft отказалась ее исправлять.
CVE-2023-36563 — уязвимость в Microsoft WordPad, связанная с раскрытием информации. Эта проблема могла использоваться для кражи NTLM-хэшей при открытии документа в WordPad. Затем эти хэши можно было взломать или использовать в атаках типа NTLM Relay для получения доступа к учетным записям.
Эта уязвимость была обнаружена внутри компании, исследователями из команды Microsoft Threat Intelligence и, похоже, она является ответвлением проблемы CVE-2023-36761, исправленной в прошлом месяце.
CVE-2023-44487 — уязвимость, связанная с проблемой HTTP/2 Rapid Reset, о которой мы уже рассказывали подробно. Напомним, что этот баг в протоколе HTTP/2 позволяет проводить мощные DDoS-атаки, из-за чего Amazon Web Services (AWS), Cloudflare и Google отчитались о новых антирекордах в этой области.
Благодаря этой уязвимости в протоколе HTTP/2, мощность атак, направленных на облачную инфраструктуру Google, достигла 398 млн запросов в секунду (requests per second, RPS), а атаки направленные на AWS и Cloudflare, превысили 155 млн и 201 млн запросов в секунду. Для сравнения, прошлый рекорд составлял 71 млн запросов в секунду и был зафиксирован в начале 2023 года.
Также Microsoft исправила баги, затрагивающие широкий спектр других продуктов, включая Windows и различные компоненты операционной системы (Exchange Server, Microsoft Office, Visual Studio, ASP.NET Core, Microsoft Dynamics и Message Queuing).
Особенно много проблем оказалось связано именно с технологией Microsoft Message Queuing: ей в этом месяце посвящено 20 отдельных бюллетеней безопасности. По данным аналитиков Trend Micro Zero Day Initiative, одна из этих проблем (CVE-2023-35349) получила оценку 9,8 балла из 10 возможных по шкале CVSS и в некоторых случаях может использоваться червями.
