Patch we wtorek Microsoft wyeliminował dziś 130 luk w zabezpieczeniach swoich produktów z listy CVE – a pięć z tych błędów zostało już wykorzystanych w środowisku naturalnym.

Pełną listę aktualizacji zabezpieczeń i porad dotyczących aktualizacji w tym miesiącu można znaleźć tutaj od giganta IT lub tutaj od ZDI. Podsumowując, dostępne są poprawki dla systemu Windows, Office, .NET i Visual Studio, Azure Active Directory i DevOps, Dynamics, sterowników drukarek, serwera DNS firmy Redmond i pulpitu zdalnego.

Spośród 130 luk w zabezpieczeniach dziewięć uważa się za krytyczne, a wiele pozostałych jest stosunkowo poważnych. Zacznijmy od tych, które są aktywnie atakowane.

Po pierwsze, istnieje luka CVE-2023-36884: luka umożliwiająca zdalne wykonanie kodu, którą mogą wykorzystać złośliwie spreparowane pliki pakietu Microsoft Office. Nakłonienie celu do otwarcia jednego z tych dokumentów na podatnym na ataki komputerze spowoduje włamanie się do jego komputera.

Co najważniejsze, nie ma jeszcze łatki dla CVE-2023-36884, a łatka może zostać dostarczona za pośrednictwem aktualizacji awaryjnej lub zaplanowanej na przyszły wtorek łatki, jak nam powiedziano. Microsoft wcześniej ujawnił pewne szczegóły usterki, ponieważ rosyjska załoga, nazwana Storm-0978, najwyraźniej wykorzystała tę lukę do ataku na uczestników trwającego szczytu NATO na Litwie w sprawie rosyjskiej inwazji na Ukrainę.

Storm-0978, znany również jako RomCom i DEV-0978, znany jest z przeprowadzania oportunistycznych kampanii ransomware – infekowania wrażliwych organizacji, gdy znajdą je oszuści – a także żeruje na określonych celach, aby zebrać ich dane uwierzytelniające dostęp dla rosyjskiego wywiadu, według Microsoft . Wraz z rządowymi systemami informatycznymi Storm-0978 rzekomo atakował także organizacje telekomunikacyjne i finansowe w Europie i USA.

„Microsoft jest świadomy ataków ukierunkowanych, które próbują wykorzystać te luki za pomocą specjalnie spreparowanych dokumentów Microsoft Office” – powiedział gigant Windows w swoim poradniku. Ponieważ nie ma jeszcze rozwiązania, Redmond wezwał ludzi do korzystania z dobrego, staromodnego blokowania załączników.

Pozostałe cztery aktywnie wykorzystywane problemy mają dostępne łatki i są wygodnie podzielone na dwie kategorie: obejścia funkcji bezpieczeństwa oprogramowania i problemy z eskalacją uprawnień.

Zacznijmy od obejścia zabezpieczeń: CVE-2023-32049 w Windows SmartScreens i CVE-2023-35311 w Microsoft Outlook. W obu przypadkach kliknięcie złośliwie spreparowanego adresu URL doprowadzi do przejęcia komputera ofiary.

A w przypadku eskalacji uprawnień: CVE-2023-32046 w silniku przeglądarki MSHTML i CVE-2023-36874 w usłudze raportowania błędów systemu Windows. W przypadku silnika przeglądarki nakłonienie znacznika do otwarcia specjalnie spreparowanego pliku – takiego jak załącznik do wiadomości e-mail lub plik osadzony na stronie internetowej – wystarczy, aby uruchomić exploit.

Jeśli chodzi o innych, jest ich dziesiątki. Od błędów w zdalnym wykonywaniu kodu w programach Microsoft Access i SharePoint Server (aczkolwiek wymagających uwierzytelnienia), po różne luki związane z podnoszeniem uprawnień na poziomie jądra. Sprawdź listy produktów, na których Ci zależy.

Apple psuje kolejną szybką reakcję bezpieczeństwa

Przypadkowo Apple opublikował tak zwane łatki Rapid Security Response (RSR) dzień przed Patch Tuesday, dotyczące luk w zabezpieczeniach Webkit w systemach iOS/iPadOS i macOS.

Niestety, te poprawki były trochę zbyt dobre w blokowaniu treści internetowych, które mogłyby spowodować wykonanie dowolnego kodu na wrażliwych urządzeniach, a dzisiaj Cupertino powiedział użytkownikom, że mogą chcieć odinstalować RSR, jeśli stwierdzą, że nie mogą przeglądać treści w sieci.

„Apple jest świadomy problemu, w wyniku którego ostatnie szybkie reakcje bezpieczeństwa mogą uniemożliwić prawidłowe wyświetlanie niektórych witryn” — powiedział iMaker. „Szybkie reakcje bezpieczeństwa… będą wkrótce dostępne w celu rozwiązania tego problemu”, jeśli to sprawi, że poczujesz się lepiej.

To tylko najnowsza usterka RSR, którą Apple wydał od czasu, gdy zaczął publikować te aktualizacje w tym roku. Gdy po raz pierwszy próbował wypchnąć RSR, wielu użytkowników zgłosiło nieudane próby łatania.

Użytkownicy SAP w przemyśle naftowym i gazowym powinni otrzymać łatki

SAP opublikował 18 aktualizacji zabezpieczeń w ramach lipcowej partii [PDF] poprawek, w tym poprawkę krytycznego problemu w oprogramowaniu IS-OIL dla przemysłu naftowego i gazowego.

Błąd, który uzyskał wynik CVSS 9,1 na 10, umożliwia uwierzytelnionemu atakującemu wstrzyknięcie dowolnych poleceń systemu operacyjnego do zagrożonego wdrożenia. „Zainstalowanie łatek jest zdecydowanie zalecane, ponieważ udane wykorzystanie tej luki ma duży wpływ na poufność, integralność i dostępność systemu SAP, którego dotyczy problem” — radzi Onapsis, firma Infosec.

Jak nam powiedziano, dostępne są również ważne poprawki dla SAP Solutions Manager, Web Dispatcher i ICM.

Poprawki ICS dla Schneider, Siemens niezbędne

Producenci przemysłowych systemów sterowania, Schneider Electric i Siemens, wyemitowali poprawki do swoich urządzeń.

Firma Siemens zaktualizowała dziś kilka porad i opublikowała pięć nowych, dotyczących luk w zabezpieczeniach urządzeń Ruggedcom ROX, które mogą prowadzić do ujawnienia informacji lub zdalnego wykonania kodu, oraz problemów w systemach komunikacyjnych Simantic CN 4100, które mogą dać użytkownikowi pełną kontrolę nad urządzeniem i możliwość aby ominąć izolację sieci.

Najbardziej palącym problemem firmy Schneider wydaje się być trzecia wersja systemu wykonawczego Codesys, która może zostać wykorzystana do spowodowania odmowy usługi i zdalnego wykonania kodu.

Adobe ma spokojny miesiąc

Adobe wydało tylko dwie łatki, jedną dla InDesign, a drugą dla ColdFusion, które dotyczą łącznie 15 CVE, z których 11 należy do InDesign, choć najgorsze z nich dotyczą ColdFusion.

Użytkownicy platformy programistycznej aplikacji internetowych firmy Adobe mają do czynienia z luką CVSS 9.8 związaną z deserializacją niezaufanych danych. Wraz z niewłaściwym problemem kontroli dostępu i niewłaściwym ograniczeniem nadmiernej liczby prób autoryzacji, ColdFusion może zostać wykorzystany do obejścia funkcji bezpieczeństwa i wykonania dowolnego kodu.

Najgorszym problemem programu InDesign w tym miesiącu jest problem z zapisem poza zakresem, który może prowadzić do wykonania dowolnego kodu, oraz kilka problemów z odczytem poza zakresem, które mogą spowodować wyciek pamięci.

Android i Mozilla publikują mizerne łatki

Miesięczne porady Google dotyczące Androida zawsze pojawiają się w swoim czasie, w tym miesiącu 5-go, i warto zwrócić uwagę na kilka krytycznych luk w zabezpieczeniach Google Security Chip rodziny Pixel i Titan M, które mogą prowadzić do podniesienia uprawnień i odmowy usługi, odpowiednio. Zawsze instaluj poprawki bezpieczeństwa Androida.

Mozilla opublikowała w tym miesiącu pojedynczą poprawkę dla Firefoksa i nowo wydaną wersję Firefox ESR 115.0.2, obejmującą warunek use-after-free() u pracowników, który może doprowadzić do „potencjalnie możliwej do wykorzystania awarii”. Mozilla uważa to za duży wpływ, więc pamiętaj, aby go zainstalować. ®