Microsoft обновила свои продукты, закрыв в них большое количество уязвимостей. Всего было выпущено 4 обновления со статусом Critical и 10 со статусом Important. Обновлению подверглись ПО SQL Server, веб-браузер Internet Explorer, различные компоненты Windows и Office. Обновление MS15-065, о котором мы уже писали, исправляет 29 уязвимостей во всех версиях браузера Internet Explorer, включая, 0day RCE уязвимость CVE-2015-2425 в IE11 (Hacking Team 0day), которая, по данным MS, уже эксплуатируется itw.
Компания также закрыла другую 0day LPE уязвимость в Windows (CVE-2015-2387), эксплойт для которой находился в распоряжении Hacking Team. Мы писали про нее ранее, уязвимость присутствует в системном компоненте atmfd.dll (Adobe Type Manager Font Driver) и позволяет повышать привилегии атакующего в системе. Уязвимость была закрыта обновлением MS15-077. Работающая версия эксплойта гуляет по сети и уязвимости присвоен статус «exploited itw».
Обновление MS15-058 исправляет несколько уязвимостей в ПО Microsoft SQL Server 2008+. Злоумышленники могут использовать уязвимости для удаленного исполнения кода, либо для повышения привилегий в системе. Important. Exploitation Unlikely.
Обновление MS15-066 исправляет опасную RCE уязвимость CVE-2015-2372 в компоненте VBScript.dll (VBScript Scripting Engine) на Windows Server 2003 — 2008. Злоумышленники могут удаленно исполнить код в веб-браузере с использованием специально сформированной веб-страницы с элементом управления VBScript. Critical. Exploitation More Likely.
Обновление MS15-067 исправляет RCE уязвимость CVE-2015-2373 в компоненте RDP сервера на Windows 7 — 8. Атакующий с использованием специально сформированного запроса может исполнить удаленный код в Windows с активным RDP-сервером. Обновлению подверглись исполняемые файлы Rdpvideominiport.sys, Rdpcorets.dll, Rdpudd.dll, а также Rdpcore.dll. Critical. Exploitation Unlikely.
Обновление MS15-068 исправляет две RCE уязвимости CVE-2015-2361 и CVE-2015-2362 в компоненте Hyper-V на Windows Server 2008 — 8.1. С использованием этих уязвимостей приложение с правами администратора на виртуальной машине под управлением Hyper-V может исполнить свой код на системе хоста (virtualization escape). Обновление адресуется драйверу Storvsp.sys. Critical. Exploitation Less Likely.
Обновление MS15-069 исправляет две RCE уязвимости во всех поддерживаемых версиях Windows. Уязвимость CVE-2015-2368 присутствует в системном компоненте Windows и позволяет злоумышленнику исполнить код в системе путем размещения в необходимой директории специальной DLL библиотеки. При запуске пользователем легитимного приложения из той же директории, приложение попытается загрузить в память легитимную библиотеку, но загрузит вместо нее вредоносную. Вторая уязвимость CVE-2015-2369 (DLL Planting Remote Code Execution) присутствует в компоненте Media Device Manager, но для ее эксплуатации, атакующий должен разместить вредоносную DLL в директории с вредоносным RTF-файлом, который будет открыт пользователем. Для Windows 8.1 обновление адресуется библиотеке Atlthunk.dll. Important. Exploitation More Likely.
Обновление MS15-070 исправляет множественные уязвимости в Office. Одна из уязвимостей с идентификатором CVE-2015-2424 (Microsoft Office Memory Corruption Vulnerability) используется злоумышленниками в направленных атаках. Атакующие могут удаленно исполнить код с использованием специальным образом сформированных файлов. Important.
Обновление MS15-071 исправляет LPE уязвимость CVE-2015-2374 в компоненте Netlogon на серверных выпусках Windows. С использованием уязвимости атакующий может поднять свои привилегии в системе через эксплуатацию основного контроллера домена (primary domain controller, PDC). Important. Exploitation Unlikely.
Обновление MS15-072 исправляет одну LPE уязвимость CVE-2015-2364 в компоненте Gdi32.dll на всех поддерживаемых выпусках Windows. Злоумышленник может повысить свои привилегии в системе путем запуска специального приложения с эксплойтом. Important. Exploitation More Likely.
Обновление MS15-073 закрывает множественные уязвимости в драйвере win32k.sys на всех поддерживаемых выпусках Windows. Уязвимости могут использоваться атакующими для повышения своих привилегий в системе (LPE), а также для несанкционированного чтения памяти режима ядра (Information Disclosure). Important.
Обновление MS15-074 закрывает LPE уязвимость CVE-2015-2371 в компоненте установщика программ (Windows Installer) для всех поддерживаемых версий Windows. Злоумышленник может повысить свои привилегии в системе за счет запуска специальным образом сформированного файла дистрибутива .msi. Обновление адресуется различным файлам, включая, Authui.dll, Msi.dll, Msimsg.dll, Msiexec.exe, Msihnd.dll, Appinfo.dll, Consent.exe. Important. Exploitation More Likely.
Обновление MS15-075 закрывает две LPE уязвимости в компоненте OLE (Ole32.dll) для всех поддерживаемых версий Windows. Уязвимости позволяют атакующему повысить свои привилегии в системе с использованием специального приложения. Important. Exploitation More Likely.
Обновление MS15-076 закрывает LPE уязвимость в различных компонентах ОС, отвечающих за реализацию Windows Remote Procedure Call (RPC), на всех поддерживаемых версиях ОС. Обновлению подвергаются системные драйверы Cng.sys, Ksecpkg.sys, а также системная библиотека Lsasrv.dll. Important. Exploitation Less Likely.
1 — Exploitation More Likely
Вероятность эксплуатирования уязвимости очень высока, злоумышленники могут использовать эксплойт, например, для удаленного выполнения кода.
2 — Exploitation Less Likely
Вероятность эксплуатирования средняя, поскольку злоумышленники вряд ли смогут добиться ситуации устойчивого эксплуатирования, а также в силу технической особенности уязвимости и сложности разработки эксплойта.
3 — Exploit code unlikely
Вероятность эксплуатирования минимальная и злоумышленники вряд ли смогут разработать успешно работающий код и воспользоваться этой уязвимостью для проведения атаки.
Мы рекомендуем нашим пользователям установить обновления как можно скорее и, если вы еще этого не сделали, включить автоматическую доставку обновлений с использованием Windows Update (по-умолчанию такая возможность включена).
technet.microsoft.com/library/security/ms15-Jul
be secure.
Компания также закрыла другую 0day LPE уязвимость в Windows (CVE-2015-2387), эксплойт для которой находился в распоряжении Hacking Team. Мы писали про нее ранее, уязвимость присутствует в системном компоненте atmfd.dll (Adobe Type Manager Font Driver) и позволяет повышать привилегии атакующего в системе. Уязвимость была закрыта обновлением MS15-077. Работающая версия эксплойта гуляет по сети и уязвимости присвоен статус «exploited itw».
Обновление MS15-058 исправляет несколько уязвимостей в ПО Microsoft SQL Server 2008+. Злоумышленники могут использовать уязвимости для удаленного исполнения кода, либо для повышения привилегий в системе. Important. Exploitation Unlikely.
Обновление MS15-066 исправляет опасную RCE уязвимость CVE-2015-2372 в компоненте VBScript.dll (VBScript Scripting Engine) на Windows Server 2003 — 2008. Злоумышленники могут удаленно исполнить код в веб-браузере с использованием специально сформированной веб-страницы с элементом управления VBScript. Critical. Exploitation More Likely.
Обновление MS15-067 исправляет RCE уязвимость CVE-2015-2373 в компоненте RDP сервера на Windows 7 — 8. Атакующий с использованием специально сформированного запроса может исполнить удаленный код в Windows с активным RDP-сервером. Обновлению подверглись исполняемые файлы Rdpvideominiport.sys, Rdpcorets.dll, Rdpudd.dll, а также Rdpcore.dll. Critical. Exploitation Unlikely.
Обновление MS15-068 исправляет две RCE уязвимости CVE-2015-2361 и CVE-2015-2362 в компоненте Hyper-V на Windows Server 2008 — 8.1. С использованием этих уязвимостей приложение с правами администратора на виртуальной машине под управлением Hyper-V может исполнить свой код на системе хоста (virtualization escape). Обновление адресуется драйверу Storvsp.sys. Critical. Exploitation Less Likely.
Обновление MS15-069 исправляет две RCE уязвимости во всех поддерживаемых версиях Windows. Уязвимость CVE-2015-2368 присутствует в системном компоненте Windows и позволяет злоумышленнику исполнить код в системе путем размещения в необходимой директории специальной DLL библиотеки. При запуске пользователем легитимного приложения из той же директории, приложение попытается загрузить в память легитимную библиотеку, но загрузит вместо нее вредоносную. Вторая уязвимость CVE-2015-2369 (DLL Planting Remote Code Execution) присутствует в компоненте Media Device Manager, но для ее эксплуатации, атакующий должен разместить вредоносную DLL в директории с вредоносным RTF-файлом, который будет открыт пользователем. Для Windows 8.1 обновление адресуется библиотеке Atlthunk.dll. Important. Exploitation More Likely.
Обновление MS15-070 исправляет множественные уязвимости в Office. Одна из уязвимостей с идентификатором CVE-2015-2424 (Microsoft Office Memory Corruption Vulnerability) используется злоумышленниками в направленных атаках. Атакующие могут удаленно исполнить код с использованием специальным образом сформированных файлов. Important.
Обновление MS15-071 исправляет LPE уязвимость CVE-2015-2374 в компоненте Netlogon на серверных выпусках Windows. С использованием уязвимости атакующий может поднять свои привилегии в системе через эксплуатацию основного контроллера домена (primary domain controller, PDC). Important. Exploitation Unlikely.
Обновление MS15-072 исправляет одну LPE уязвимость CVE-2015-2364 в компоненте Gdi32.dll на всех поддерживаемых выпусках Windows. Злоумышленник может повысить свои привилегии в системе путем запуска специального приложения с эксплойтом. Important. Exploitation More Likely.
Обновление MS15-073 закрывает множественные уязвимости в драйвере win32k.sys на всех поддерживаемых выпусках Windows. Уязвимости могут использоваться атакующими для повышения своих привилегий в системе (LPE), а также для несанкционированного чтения памяти режима ядра (Information Disclosure). Important.
Обновление MS15-074 закрывает LPE уязвимость CVE-2015-2371 в компоненте установщика программ (Windows Installer) для всех поддерживаемых версий Windows. Злоумышленник может повысить свои привилегии в системе за счет запуска специальным образом сформированного файла дистрибутива .msi. Обновление адресуется различным файлам, включая, Authui.dll, Msi.dll, Msimsg.dll, Msiexec.exe, Msihnd.dll, Appinfo.dll, Consent.exe. Important. Exploitation More Likely.
Обновление MS15-075 закрывает две LPE уязвимости в компоненте OLE (Ole32.dll) для всех поддерживаемых версий Windows. Уязвимости позволяют атакующему повысить свои привилегии в системе с использованием специального приложения. Important. Exploitation More Likely.
Обновление MS15-076 закрывает LPE уязвимость в различных компонентах ОС, отвечающих за реализацию Windows Remote Procedure Call (RPC), на всех поддерживаемых версиях ОС. Обновлению подвергаются системные драйверы Cng.sys, Ksecpkg.sys, а также системная библиотека Lsasrv.dll. Important. Exploitation Less Likely.
1 — Exploitation More Likely
Вероятность эксплуатирования уязвимости очень высока, злоумышленники могут использовать эксплойт, например, для удаленного выполнения кода.
2 — Exploitation Less Likely
Вероятность эксплуатирования средняя, поскольку злоумышленники вряд ли смогут добиться ситуации устойчивого эксплуатирования, а также в силу технической особенности уязвимости и сложности разработки эксплойта.
3 — Exploit code unlikely
Вероятность эксплуатирования минимальная и злоумышленники вряд ли смогут разработать успешно работающий код и воспользоваться этой уязвимостью для проведения атаки.
Мы рекомендуем нашим пользователям установить обновления как можно скорее и, если вы еще этого не сделали, включить автоматическую доставку обновлений с использованием Windows Update (по-умолчанию такая возможность включена).
technet.microsoft.com/library/security/ms15-Jul
be secure.
