Пачка уязвимостей в Windows, одну уже эксплуатируют

В традиционном вторничном обновлении компания Microsoft закрыла в общей сложности 128 уязвимостей в различных продуктах компании и их компонентах. Из них как минимум 10 — критические, как минимум две были известны до выхода патчей, и как минимум одна из них — уже активно эксплуатировалась неизвестными злоумышленниками. Это повод незамедлительно обновить операционную систему и прочие продукты.

Самые опасные уязвимости

Судя по имеющейся информации, этот хит-парад уязвимостей, от которых стоит ожидать неприятностей, возглавляет CVE-2022-24521. Дыра содержится в драйвере подсистемы CLFS (Common Log File System) Windows и связана с повышением уровня доступа. Несмотря на не самый впечатляющий рейтинг CVSS:3.1 (7.8), ее достаточно несложно эксплуатировать. Что, собственно, уже и делают какие-то неизвестные злоумышленники.

CVE-2022-26904, еще одна уязвимость повышения уровня доступа, находится в системном сервисе пользовательских профилей Windows. Рейтинг по шкале CVSS:3.1 у нее также сравнительно невысокий (7.0), однако поскольку об этой уязвимости тоже было известно еще до выхода обновления, логично предположить, что ее могут взять на вооружения раньше прочих.

Все уязвимости критического уровня связаны с удаленным исполнением постороннего кода (RCE). Из них самый высокий рейтинг опасности — 9.8 баллов — имеют CVE-2022-26809 в библиотеке среды выполнения (Remote Procedure Call Runtime Library) Windows, а также CVE-2022-24491 и CVE-2022-24497 в протоколе сетевого доступа к файловым системам Windows Network File System.

Некоторые эксперты считают, что три последние уязвимости потенциально «червеобразующие», то есть могут быть использованы для самостоятельного распространения эксплойтов по сети.

Напомним, что суммарно были опубликованы обновления для 128 уязвимостей в самых разных продуктах и компонентах Microsoft, включая браузер Edge, Defender, Office, Exchange, Sharepoint Server, Visual Studio и многое другое. Рекомендуем изучить полный список (спойлер: он длинный) и приоритизировать наиболее критичные обновления тех продуктов, которыми вы пользуетесь.

Как оставаться в безопасности

В идеальном мире самым логичным шагом было бы незамедлительно установить все исправления ошибок. Разумеется, в реальной жизни это не всегда представляется возможным — некоторым компаниям необходимо протестировать обновления, прежде чем раскатывать их в собственной инфраструктуре. На этот случай мы рекомендуем изучить разделы Mitigations в официальных бюллетенях Microsoft. Полный список уязвимостей и более подробная информация о них доступна в описании обновления на сайте компании.

Со своей же стороны мы рекомендуем использовать на всех компьютерах и серверах, имеющих подключение к Интернету, надежные защитные решения с технологиями, позволяющими выявлять эксплуатацию уязвимостей. Причем как уже раскрытых, так и еще неизвестных.